A Microsoft háza táján megint felbukkant egy súlyos probléma, ami ezúttal a SharePoint szoftver szervereken futó változatát érinti, és ugyan nem esnek térdre miatta a Windows alapú rendszerek, mint tavaly, a CrowdStrike miatt: ezúttal az adatbiztonság került veszélybe, ugyanis két biztonsági rést már globálisan is kiaknáznak a hackerek, ezzel több ezer, akár tízezernél is több vállalkozást és kormányzati ügynökséget veszélybe sodorva.
Nagy a baj, de már vannak javítások
Kezdjük a jó hírrel, a sebezhetőség által érintett Microsoft SharePoint Subscription Edition, illetve a Microsoft SharePoint Server 2019 esetében már elérhetővé tette a Microsoft azokat a sürgősségi javításokat, amelyekkel csökkenthető a támadási felület, illetve befoltozhatóak a biztonsági rések, a Microsoft SharePoint Enterprise Server 2016 azonban még nem kapott frissítést. A Microsoft 365 keretén belül elérhető SharePoint egyáltalán nem is érintett. A rendszer-üzemeltetők innen tölthetik le a két említett kiadáshoz készített javításokat.
Miről is van szó? – A ToolShell támadás
A Microsoft még szombaton adott ki egy riasztást azzal kapcsolatban, hogy a SharePoint néhány verzióját aktívan támadják a hackerek az amerikai kontinensen, illetve Európában is, ami annak köszönhető, hogy két nulladik napi sebezhetőségre is fény derült. Noha ezeket a júliusi biztonsági frissítések keretén belül elvileg javították, a hackerek mégis sikeresen megtalálták a módját annak, hogy a javítások ellenére is kiaknázzák a bennük rejlő lehetőségeket. A támadások legalább július 18-a óta zajlanak, ekkor hívták fel rájuk a figyelmet az Eye Security kutatói.
A sebezhetőségeken keresztül a támadók hitelesítés nélkül férhetnek hozzá a SharePoint dokumentumokhoz és fájlokhoz, ezzel egy időben pedig felhasználók és szolgáltatások bőrébe bújva további károkat okozhatnak az álcák alatt: bizalmas adatokat szerezhetnek, bejelentkezési adatokhoz férhetnek hozzá, illetve folyamatosan nyitva lévő hátsó ajtókat is létrehozhatnak annak érdekében, hogy később is garázdálkodhassanak az érintett szervereken és az adott hálózaton. A SharePoint, ami eredetileg dokumentummegosztáson alapuló együttműködést tesz lehetővé az egyes kormányzati ügynökségek részlegei között, és amit cégek is használnak az együttműködés fokozására, más szolgáltatásokhoz is kapcsolódik, például a Teams-hez és az Outlook-hoz, vagyis a sebezhetőségeken keresztül ezek a szolgáltatások is a támadók áldozatául eshetnek: gyorsan tudnak adatokat lopni, illetve jelszavakat és bejelentkezési adatokat is szerezhetnek.
Nem friss sebezhetőségekről van szó, elvileg korábban már javították őket
A sérülékenységekre eredetileg még május folyamán derült fény a berlini Pwn2Own rendezvény keretén belül, ahol biztonságtechnikai kutatók bemutatták, hogyan lehet kiaknázni az eredeti sebezhetőségekben rejlő lehetőségeket, majd ezeket elvileg július folyamán javította is a Microsoft (CVE-2025-49704 és CVE-2025-49706), de a jelek szerint nem végeztek alapos munkát. Most éppen a javítások megkerülésével próbálnak bejutni különböző cégek és kormányzati szerver rendszereibe a hackerek, a probléma globális szintű, így feltétlenül érdemes alkalmazni a Microsoft által kiadott legújabb frissítéseket. A sors fura fintora, hogy a korábban javítottnak hitt két nulladik napi sebezhetőséget két másik nulladik napi sebezhetőség felfedezésével tudták ismét kiaknázni a támadók (CVE-2025-53770 és CVE-2025-53771).
A hírek szerint az amerikai cégek mellett az európaiak is érintettek, azon belül főként a holland vállalatokra jár rá a rúd, ugyanis ott a legnépszerűbbek a SharePoint szerverszolgáltatások. A Microsoft és a biztonságtechnikai kutatók azt egyelőre nem árulták el, pontosan hány cég és ügynökség érintett, csak annyi biztos, több ezerre vagy több tízezerre teszik a potenciálisan érintettek számát. A magánvállalkozások mellett szövetségi ügynökségek, egyetemek, energetikai vállalatok, illetve egy ázsiai távközlési cég is jelen van az érintettek között, de a lista még bővül, pontosabb tájékoztatás csak később várható.
