Microsoft не смогла эффективно устранить уязвимость, из-за которой подверглась кибератаке

В июле Microsoft выпустила патч для устранения уязвимости «ToolShell» в SharePoint Server, но вскоре стало ясно, что он не устранил проблему полностью. Недостаточное обновление позволило хакерам продолжать масштабные атаки, затронувшие около 100 организаций по всему миру.

В ходе расследования обнаружено, что три группы, включая две связанные с Китаем — «Лайнен Тайфун» и «Вайолет Тайфун», а также Storm‑2603, активно эксплуатируют уязвимость, получая права администратора, крадут криптографические ключи и устанавливают backdoor. Эти атаки нацелены на инфраструктуру госструктур, банков, здравоохранения и крупных предприятий в США, Германии и других странах.

По оценкам Shodan и Shadowserver, более 8 тысяч серверов уязвимы, а минимальное число затронутых серверов превышает 9 тысяч. При этом в некоторых правительственных системах Германии уязвимость обнаружена, но компрометации не зарегистрировано.

Microsoft подтвердила, что изначальный патч 8 июля был недостаточен, и в последующем выпустила дополнительные исправления. Компания также рекомендует отключить SharePoint Server от интернета, обновить ключи шифрования, усилить мониторинг и использовать средства защиты типа Defender.

Эксперты отмечают, что инцидент выявил слабость подхода к распространению ошибок «нулевого дня» — тестовые конкурсы (как Trend Micro в Берлине) своевременно выявляют уязвимости, но поставщики не успевают качественно закрывать их. В контексте участившихся атак это может вызвать новую волну злоупотреблений и усилить требования к безопасности критической инфраструктуры.