کشف آسیب‌پذیری‌هایی نرم‌افزار SharePoint و محافظت بیشتر در برابر هکر‌ها

غول فناوری آمریکایی مایکروسافت اعلام کرده که آسیب‌پذیری‌هایی در نسخه سازمانی نرم‌افزار SharePoint کشف شده‌اند و توسط هکر‌های تحت حمایت دولت چین مورد سوءاستفاده قرار گرفته‌اند. بنا بر اطلاعات رسمی، سه گروه تهدید با نام‌های «Linen Typhoon»، «Violet Typhoon» و «Storm-۲۶۰۳» از این نقص امنیتی برای حمله به سرور‌های SharePoint متصل به اینترنت استفاده کرده‌اند.

به گزارش مجله خبری نگار،در بلاگ رسمی مایکروسافت تأکید شده که این آسیب‌پذیری فقط نسخه‌های سازمانی و نصب‌شده محلی از SharePoint را تحت تأثیر قرار می‌دهد و نسخه مبتنی بر فضای ابری یعنی SharePoint Online از این حملات در امان مانده است.

آغاز حملات از ۷ ژوئیه

طبق اعلام مایکروسافت، حملات از تاریخ ۷ ژوئیه آغاز شده‌اند. اولین هشدار نیز توسط شرکت هلندی امنیت سایبری Eye Security اعلام شد. در بررسی‌های اولیه، این شرکت توانست شواهد دیجیتالی متعددی از حملات را شناسایی کرده و ابتدا تعداد نهاد‌های قربانی را حدود ۱۰۰ مورد اعلام کند. اما داده‌های جدید نشان می‌دهد که این رقم به بیش از ۴۰۰ نهاد رسیده است.

کارشناس ارشد امنیت سایبری Eye Security، خانم «Vaisha Bernard»، تأکید کرده که احتمال می‌رود رقم واقعی بسیار بالاتر باشد، چراکه همه حملات ردپای دیجیتال برجای نمی‌گذارند. او افزود: «چیزی که ما می‌بینیم، فقط نوک کوه یخ است.»

پیامد‌های امنیتی برای کاربران SharePoint

خطر گسترش به سایر سرویس‌های مایکروسافت

پلتفرم SharePoint به دلیل قابلیت ذخیره‌سازی اسناد، همکاری سازمانی و یکپارچگی با سایر محصولات مایکروسافت، در بسیاری از سازمان‌ها مورد استفاده قرار می‌گیرد. Eye Security هشدار داده که هرگونه رخنه امنیتی در این سیستم، می‌تواند به سرعت به سرویس‌هایی نظیر Outlook، OneDrive و Teams سرایت کرده و منجر به افشای اطلاعات، سرقت گذرواژه و گسترش تهدیدات در شبکه شود.

توصیه‌های مایکروسافت برای محافظت از سازمان‌ها

مایکروسافت از تمامی کاربران سازمانی SharePoint خواسته تا در اسرع وقت سیستم‌های خود را به‌روزرسانی کرده و اطمینان حاصل کنند که واسط اسکن ضد بدافزار (Antimalware Scanning Interface) به درستی فعال و پیکربندی شده است. این شرکت اعلام کرده که پچ‌های امنیتی موردنیاز منتشر شده‌اند و کاربران باید بدون تأخیر آنها را نصب کنند.

تحلیل فنی حمله: مهاجمان چگونه نفوذ کردند؟

دور زدن احراز هویت و کنترل کامل سیستم

در تحلیلی که منتشر شده، آمده است که هکر‌ها توانسته‌اند با عبور از مکانیزم احراز هویت، کد‌های مخرب خود را روی سرور‌ها اجرا کنند. همچنین با دسترسی به کلید‌های رمزنگاری، امکان کنترل بلندمدت بر سیستم‌ها برای آنها فراهم شده است.

Eye Security توصیه کرده که کلید‌های ماشین قبل و بعد از اعمال وصله امنیتی حتماً تعویض شوند تا خطر باقی‌ماندن دسترسی مهاجم کاهش یابد.

هشدار‌های نهاد‌های آمریکایی

آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) نیز به سازمان‌ها توصیه کرده که واسط اسکن ضد بدافزار را به‌درستی پیکربندی کنند و آنتی‌ویروس Microsoft Defender را فعال نگه دارند.

شناسایی گروه‌های مسئول حمله

Linen Typhoon؛ تهدیدی که از ۲۰۱۲ فعال است

مایکروسافت در بیانیه خود اعلام کرده گروه Linen Typhoon از سال ۲۰۱۲ تاکنون، نهاد‌هایی مانند دولت‌ها، صنایع دفاعی، سازمان‌های حقوق بشری و مراکز برنامه‌ریزی استراتژیک را هدف قرار داده است.

Violet Typhoon؛ تمرکز بر دانشگاهیان و رسانه‌ها

این گروه نیز از سال ۲۰۱۵ در حال اجرای عملیات جاسوسی علیه پژوهشگران، سازمان‌های مردم‌نهاد و رسانه‌ها در ایالات متحده، اروپا و آسیا بوده است.

Storm-۲۶۰۳؛ منشأ چینی، اما با تردید

گرچه Storm-۲۶۰۳ به چین نسبت داده شده، اما مایکروسافت تنها «با اطمینان متوسط» این ادعا را مطرح کرده و هنوز مدرک قطعی برای ارتباط مستقیم ارائه نکرده است.

گام‌هایی برای محافظت و واکنش

توصیه‌های Eye Security برای سازمان‌های قربانی

به گفته Eye Security، سازمان‌هایی که متوجه نفوذ به SharePoint شده‌اند باید اقدامات زیر را در اولویت قرار دهند:

* خاموش کردن سرور‌های آسیب‌دیده

* تغییر همه رمز‌های عبور و اطلاعات هویتی احتمالا فاش‌شده

* تماس فوری با یک تیم امنیت سایبری حرفه‌ای

هشدار نهایی: تعلل نکنید!

کارشناسان هشدار داده‌اند که این نوع حملات می‌توانند به‌سرعت گسترش یابند و تبعات سنگینی داشته باشند. به همین دلیل، نصب فوری به‌روزرسانی‌های امنیتی و پایش مداوم سیستم‌ها، حیاتی و ضروری است.

منبع: فوت وفن

لینک کپی شد

اشتراک‌ گذاری