X

עסקים רבים נפגעו: האקרים מנצלים באג חדש במערכות מיקרוסופט

וכנות הסייבר האמריקנית CISA הזהירה מהתקפות נרחבות המנצלות באג חדש במערכות SharePoint של ענקית הטכנולוגיה • הפרצה מאפשרת לגנוב מפתחות דיגיטליים ללא צורך בהרשאות • מיקרוסופט טרם פרסמה תיקונים לכל הגרסאות הפגיעות של התוכנה

מערכת ישראל היום
, עודכן
0השמעה
SharePoint של מיקרוסופט. צילום: צילום מסך

הממשל הפדרלי האמריקני וחוקרי סייבר מדווחים היום (שני) על פרצת אבטחה חדשה שהתגלתה במערכת SharPoint של מיקרוסופט, הנמצאת כעת תחת התקפה נרחבת מצד האקרים - כך על פי דיווח של אתר TechCrunch.

סוכנות הסייבר האמריקנית CISA הזהירה כי האקרים מנצלים באופן פעיל את הפרצה. מיקרוסופט טרם פרסמה תיקונים לכל הגרסאות הפגיעות של שרפוינט ובכך מותירה לקוחות ברחבי העולם כמעט חסרי הגנה מפני המתקפות המתמשכות.

מיקרוסופט הודיעה כי הבאג, הידוע רשמית בשם CVE-2025-53771, פוגע בגרסאות של שרפוינט שחברות מתקינות ומנהלות על השרתים שלהן. שרפוינט מאפשר לחברות לאחסן, לשתף ולנהל את הקבצים הפנימיים שלהן.

האקר (אילוסטרציה). הבאג מאפשר לאקרים לגנוב מפתחות דיגיטליים פרטיים משרתי שרפוינט, צילום: (אילוסטרציה) יוני מנר

החברה הודיעה כי היא עובדת על תיקוני אבטחה למניעת ניצול הפגיעות מצד האקרים. הפרצה, המתוארת כ"zero day" מכיוון שהיצרן לא קיבל זמן לתקן את הבאג לפני שנודע לו עליו, פוגעת בגרסאות תוכנה ישנות כמו SharePoint Server 2016.

טרם ידוע כמה שרתים נפרצו עד כה, אך סביר להניח שעסקים קטנים ובינוניים רבים הנסמכים על התוכנה נפגעו. לפי דיווח ב"וושינגטון פוסט", כמה סוכנויות פדרליות אמריקניות, אוניברסיטאות וחברות אנרגיה כבר נפרצו במסגרת ההתקפות.

חברת Eye Security, שחשפה ראשונה את הבאג, אמרה שמצאה "עשרות" שרתי שרפוינט של מיקרוסופט מנוצלים באופן פעיל ברשת בזמן הפרסום. הבאג מאפשר לאקרים לגנוב מפתחות דיגיטליים פרטיים משרתי שרפוינט ללא צורך בכל אישורים להתחברות.

לאחר החדירה, האקרים יכולים להתקין תוכנות זדוניות מרחוק ולקבל גישה לקבצים ולמידע המאוחסן במערכת. Eye Security הזהירה ששרפוינט מתחבר לאפליקציות אחרות כמו אאוטלוק, טימס ו-OneDrive, מה שעלול לאפשר פשרה נוספת של הרשת וגניבת מידע.

החברה הסבירה כי מאחר שהבאג כרוך בגניבת מפתחות דיגיטליים שעלולים לשמש לחיקוי של בקשות לגיטימיות בשרת, לקוחות מושפעים חייבים להחליף את המפתחות הדיגיטליים שלהם כדי למנוע מהאקרים לפשוט מחדש על השרת.

CISA וגורמים אחרים קראו ללקוחות "לנקוט בפעולה מיידית מומלצת". בהעדר תיקונים או פתרונות זמניים, לקוחות צריכים לשקול ניתוק מערכות שעלולות להיות מושפעות מהאינטרנט.

"אם יש לכם שרפוינט מקומי שחשוף לאינטרנט, אתם צריכים להניח שנפרצתם בשלב זה", אמר מייקל סיקורסקי, ראש יחידת המודיעין על איומי הסייבר Unit 42 של פאלו אלטו נטוורקס.

עדיין לא ידוע מי מבצע את ההתקפות על שרתי השרפוינט, אך זו רק האחרונה בשורה של התקפות סייבר המכוונות נגד לקוחות מיקרוסופט בשנים האחרונות.

מיקרוסופט. להחליף את המפתחות הדיגיטליים, צילום: אי.פי

בשנת 2021, למשל, קבוצת האקרים שנתמכת על ידי סין נתפסה כשהיא מנצלת פגיעות בשרתי המייל המקומיים Exchange של מיקרוסופט, ואיפשרה פריצה המונית והוצאת מידע של מיילים ורשימות אנשי קשר מעסקים ברחבי העולם. האקרים פשטו על יותר מ-60,000 שרתים, על פי כתב אישום של משרד המשפטים האמריקני, שהאשים שני אזרחים סינים בניהול המבצע.

שנתיים לאחר מכן, מיקרוסופט אישרה שהייתה התקפת סייבר על מערכות הענן שלה, שאותן היא מנהלת ישירות, שאיפשרה להאקרים סינים לגנוב מפתח חתימת מייל רגיש שאיפשר גישה לחשבונות מייל צרכניים ועסקיים המתארחים על ידי החברה.

מיקרוסופט דיווחה בעבר גם על חדירות חוזרות של האקרים הקשורים לממשלת רוסיה.

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
טכנולוגיהמיקרוסופטמתקפת סייבר

כדאי להכיר