Összefoglalás
A Microsoft SharePoint szoftverében felfedezett kritikus biztonsági rés miatt globális kiberkémkedési művelet indult el, amelyben kínai hackercsoportokat gyanúsítanak. A kezdeti hibajavítás elégtelen volt, így több ezer szerver – köztük állami és ipari rendszerek – vált potenciálisan sebezhetővé. A cikk részletesen bemutatja az események hátterét, szereplőit és kockázatait.
4 perc olvasási idő
I. Főbb témák
Ismert, de elégtelenül javított sebezhetőség: A Microsoft már májusban tudott a SharePoint biztonsági hibájáról egy hackversenynek köszönhetően, de az általa július elején kiadott első javítás nem orvosolta teljesen a problémát, ami utat nyitott a további kihasználásoknak.
Kínai szereplők vádja: A támadásokért valószínűleg Kínához köthető hackercsoportokat (például “Linen Typhoon” és “Violet Typhoon”) tartanak felelősnek, bár Kína tagadja a vádakat.
Széleskörű célpontok és potenciális kár: A sebezhetőség széles körű szervezetekre terjed ki, beleértve ipari cégeket, bankokat, egészségügyi vállalatokat és kormányzati szerveket az Egyesült Államokban és Németországban.
Időbeni javítások és a gyártók felelőssége: A Trend Micro által szervezett verseny rávilágított a gyártók felelősségére a biztonsági hibák “hatékony és időben történő” javítása és nyilvánosságra hozatala terén.
II. Legfontosabb ötletek és tények
- A sebezhetőség azonosítása (május):
- A kritikus hibát egy berlini hackversenyen fedezték fel májusban, amelyet a Trend Micro kiberbiztonsági cég szervezett. (“A biztonsági rés, amely megkönnyítette a támadást, először májusban, egy berlini hackversenyen került azonosításra…”)
- A Trend Micro 100 000 dolláros díjat ajánlott fel “zero-day” exploitokért – olyan digitális gyengeségekért, amelyekről korábban nem tudtak, és amelyeket a SharePoint ellen fel lehetett használni. (“100 000 dolláros díjat ajánlott fel ‘zero-day’ exploitokért – amelyeket azért neveznek így, mert korábban ismeretlen digitális gyengeségeket használnak ki, amelyeket a SharePoint, a Microsoft kiemelt dokumentumkezelő és együttműködési platformja ellen fel lehetett használni.”)
- Egy, a vietnami hadsereg által működtetett telekommunikációs cég, a Viettel kiberbiztonsági részlegének kutatója azonosította a SharePoint hibát, “ToolShell” névre keresztelte, és bemutatta annak kihasználási módját. (“Egy kutató… azonosította a SharePoint hibát, ‘ToolShell’ névre keresztelte, és bemutatta annak kihasználási módját.”)
- A Microsoft kezdeti válasza (július 8.):
- A Microsoft július 8-án kiadott egy biztonsági frissítést, amelyben azonosította a hibát, kritikus sebezhetőségként sorolta be, és javításokat adott ki annak orvoslására. (“A Microsoft július 8-i biztonsági frissítésében kijelentette, hogy azonosította a hibát, kritikus sebezhetőségként sorolta be, és javításokat adott ki annak orvoslására.”)
- A javítás sikertelensége és a támadások eszkalációja (kb. július 18.):
- A Microsoft szóvivője megerősítette, hogy az “első megoldása nem működött”. (“A Microsoft szóvivője kedden megerősítette, hogy kezdeti megoldása nem működött.”)
- Körülbelül 10 nappal a javítás megjelenése után a kiberbiztonsági cégek “rosszindulatú online tevékenység beáramlását” észlelték, amely ugyanazt a szoftvert célozta, amelyet a hiba megpróbált kijavítani: a SharePoint szervereket. (“Körülbelül 10 nappal később azonban a kiberbiztonsági cégek rosszindulatú online tevékenység beáramlását kezdték észlelni, amely ugyanazt a szoftvert célozta, amelyet a hiba megpróbált kihasználni: a SharePoint szervereket.”)
- A Sophos brit kiberbiztonsági cég kijelentette: “A fenyegető szereplők ezt követően olyan exploitokat fejlesztettek ki, amelyek látszólag megkerülik ezeket a javításokat.”
- A támadások attribútuma és tagadás:
- A Microsoft és az Alphabet (Google) szerint valószínűleg Kínához köthető hackerek álltak az első hackhullám mögött. (“A Microsoft és az Alphabet Google szerint valószínűleg Kínához köthető hackerek álltak az első hackhullám mögött.”)
- A Microsoft blogbejegyzésében azt írta, hogy két állítólagos kínai hackercsoport, a “Linen Typhoon” és a “Violet Typhoon” kihasználta a sebezhetőségeket, valamint egy másik Kína-alapú hackercsoport.
- A washingtoni kínai nagykövetség e-mailben küldött nyilatkozatában kijelentette, hogy Kína ellenzi a kiberámadások minden formáját, és “mások rágalmazását szilárd bizonyítékok nélkül”.
- Az érintettek köre:
- A potenciális ToolShell célpontok száma továbbra is “hatalmas”.
- A Shodan keresőmotor adatai szerint “több mint 8000 online szerver elméletileg már kompromittálódhatott hackerek által”.
- Ezek a szerverek “nagy ipari cégeket, bankokat, könyvvizsgálókat, egészségügyi vállalatokat és számos amerikai állami szintű és nemzetközi kormányzati entitást” foglalnak magukban.
- A Shadowserver Foundation, amely az internetet potenciális digitális sebezhetőségekre szkenneli, “több mint 9000-re” tette a számot, megjegyezve, hogy ez a szám minimum.
- A legtöbb érintett szerver az Egyesült Államokban és Németországban található, és az áldozatok között kormányzati szervezetek is voltak.
- Németország szövetségi információs biztonsági hivatala, a BSI, kedden azt mondta, hogy kormányzati hálózatokon belül olyan SharePoint szervereket találtak, amelyek sebezhetők voltak a ToolShell támadással szemben, de egyiket sem kompromittálták.
- Jövőbeli lépések:
- A Microsoft szóvivője hozzátette, hogy a vállalat “további javításokat” adott ki, amelyek orvosolták a problémát.
- A művelet várhatóan eszkalálódni fog, ahogy más hackerek is csatlakoznak a támadáshoz.
III. Következtetés
A Microsoft SharePoint szoftverében felfedezett kritikus biztonsági hiba, amelyet egy hackversenyen azonosítottak, majd egy kezdeti, de elégtelen javítással kezeltek, utat nyitott egy széleskörű globális kiberkémkedési műveletnek. A támadásokért Kínához köthető csoportokat vádolnak, és a sebezhetőség potenciálisan több ezer szervert érinthet világszerte, kiemelve a szoftvergyártók felelősségét a biztonsági hibák időben történő és hatékony kezelésében. A helyzet rávilágít a folyamatos kiberfenyegetésekre és a digitális infrastruktúrák védelmének kritikus fontosságára.
