Ulusal Nükleer Güvenlik İdaresi (NNSA), Microsoft SharePoint’te daha önce bilinmeyen bir kırılganlıktan yararlanan sofistike bir siber saldırının kurbanı, bu yıl kritik ABD savunma altyapısını hedefleyen en önemli güvenlik ihlallerinden birini işaretledi.
Çin hükümetine bağlı hackleme grupları, Donanmanın nükleer denizaltı reaktörlerini korumaktan sorumlu ajans da dahil olmak üzere 50’den fazla organizasyona sızmak için şirket içi SharePoint tesislerini etkileyen sıfır gün istismarından yararlandı.
Key Takeaways
1. Chinese hackers breached US Nuclear Security Administration via SharePoint zero-day exploit.
2. No classified data stolen due to cloud-based systems usage.
3. Immediate SharePoint updates required.
NNSA SharePoint saldırısı
ABD Donanması’nın denizaltı filosuna nükleer reaktörler sağlamaktan ve Amerika’nın nükleer silah stoklarını korumaktan sorumlu NNSA, güvenlik araştırmacılarının sofistike bir uzaktan kod yürütme (RCE) istismarı olarak tanımladığı şeyde teminat hasarı haline geldi.
SharePoint Server Sürümleri 2019 ve Abonelik Sürümü’nü etkileyen güvenlik açığı, saldırganların kimlik doğrulama mekanizmalarını atlamasına ve hedef sistemlerde keyfi kod yürütmesine olanak tanır.
Buna göre Bloomberg haber raporu, saldırı vektörü sömürüldü Her ikisi de başlangıçta Mayıs 2024’te PWN2OWN Vancouver Hacking yarışmasında gösterilen bir kimlik doğrulama baypası kusuru ile birleştiğinde bir serileştirme güvenlik açığı.
İstismar zinciri, tehdit aktörlerinin SharePoint sunucularına yetkisiz erişim elde etmesini, hassas verileri çıkarmasını, kullanıcı kimlik bilgilerini hasat etmelerini ve potansiyel olarak bağlı ağ altyapısına dönmesini sağlar.
Neyse ki, Enerji Bakanlığı yetkilileri olay sırasında hiçbir sınıflandırılmış veya hassas nükleer bilginin tehlikeye atılmadığını doğruladı.
Ajansın Microsoft 365 bulut geçiş stratejisi, sıfır gün özellikle Bulut tabanlı SharePoint çevrimiçi hizmeti yerine şirket içi SharePoint dağıtımlarını hedeflediği için saldırının etkisini sınırlandırıyor gibi görünüyor.
Bir DOE sözcüsü, “Departman, Microsoft M365 bulutunun yaygın kullanımı ve çok yetenekli siber güvenlik sistemleri nedeniyle minimal olarak etkilendi” dedi.
Microsoft’un yanıtı
Microsoft, etkilenen tüm SharePoint Server sürümlerinde güvenlik açığını ele alan acil durum güvenlik yamaları yayınladı.
Şirketin Güvenlik Müdahale Merkezi (MSRC), bu istismar zincirine atanan CVSS 9.8 önem derecesini vurgulayarak derhal yama dağıtımını çağıran kritik güvenlik bültenleri yayınladı.
Olay, tedarik zinciri güvenliği ve şirket içi kurumsal yazılım kurulumlarının ortaya koyduğu risklerle ilgili artan endişeleri vurgulamaktadır.
Siber güvenlik uzmanları, bu saldırının sofistike doğasının, satıcılar yamalar geliştirmeden önce sıfır gün güvenlik açıklarından yararlanma konusunda gelişmiş kalıcı tehdidin (APT) gruplarının gelişen yeteneklerini gösterdiği konusunda uyarıyor.
Şirket içi SharePoint ortamlarını çalıştıran kuruluşların, Microsoft’un güvenlik güncellemelerini derhal uygulaması ve olası uzlaşma göstergelerini tanımlamak için kapsamlı olay müdahale değerlendirmeleri yapmaları tavsiye edilir.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi