Az elmúlt napok folyamán kiderült, hogy a Microsoft SharePoint platformja nulladik napi biztonsági réseket tartalmaz, szám szerint kettőt, és ezeket már egy ideje próbálják aktívan támadni a kiberbűnözők, de arról egyelőre nem esett szó, sikerrel jártak-e, megszereztek-e bizalmas céges adatokat, felhasználói hozzáférési adatokat, vagy éppen különböző kulcsokat, amelyekkel további károkat okozhatnak.
A Microsoft által kiadott tájékoztatás egyértelmű volt: minden érintettnek azt javasolták, frissítsék az általuk használt SharePoint verziót, ha a Microsoft SharePoint Server Subscription Edition, a Microsoft SharePoint Server 2019, vagy a Microsoft SharePoint Server 2016 fut rendszereiken. Első körben a 2016-os kiadáshoz nem volt javítás, de azóta már elérhetővé vált.
Most ismét fontos felhívást tett közzé a Microsoft, ugyanis a vizsgálatok alapján fény derült arra, hogy egy kínai kiberbűnöző csapat, amit Strom-2603 névvel emlegetnek, már aktívan használja a még ki nem javított biztonsági réseket arra, hogy zsarolóvírust telepítsen a sebezhető rendszerekre. A támadók a korábban felfedezett, majd július folyamán részben befoltozott CVE-2025-49704-es és CVE-2025-49706-os sebezhetőségeket használják, ahol még ezek nyitva vannak, ahol nincsenek, ott a CVE-2025-53770-es és a CVE-2025-53771-es sebezhetőségekre koncentrálnak, amennyiben azokat a felhasználók még nem javították a napokban kiadott patchekkel. Amennyiben a támadás sikerrel jár az adott rendszerrel szemben, akkor a támadók a Warlock zsarolóvírust helyezik el rajtuk, és később valószínűleg váltságdíjat is kérnek a fájlok titkosításának feloldásáért.
A Microsoft vizsgálatai szerint két olyan szereplőt sikerült azonosítani, akik kínai nemzetállami támogatással tevékenykedhetnek: az egyik a Linen Typhoon, a másik pedig a Violet Typhoon. Ezek persze nem a konkrét csapat nevei, csak az eddigi gyakorlat alapján kiosztott nevek, amelyek a származási ország és az aktivitás típusa alapján születnek meg. Kína például a Typhoon kódnevet viseli, míg az észak-koreai támadókat Sleet névvel illetik. A támadás formája alapján is vannak jól bejáratott nevek, a befolyásolási műveletekkel operálók például a Flood, a pénzügyileg motivált csoportok pedig a Tempest nevet kapják. Ebben az esetben fejlődő csoportról van szó, ezért ők a Storm nevet kapták, amihez egy numerikus számsort kapcsolnak, jelen esetben a 2603-ast. Az eddigi vizsgálatok alapján nem találtak kapcsolatot a Storm-2603 é egyéb ismert kínai támadók között, de az elemzés továbbra is folytatódik, figyelik a tevékenységeket.
A Microsoft szerint úgy lehet csökkenteni a támadási felületet, ha az adott platform legfrissebb verzióját használják az érintettek, az összes fontos frissítést telepítik, illetve integrálják és aktiválják az Antimalware Scan Interface és a Microsoft Defender Antivirus szoftvereket, vagy egyéb, ezekhez hasonló biztonsági szintet kínáló alkalmazásokat. Az AMSI esetében Full Mode beállítás érdemes alkalmazni. Ezzel együtt azt is ajánlja a vállalat, hogy az érintettek váltogassák az ASP.NET gépi kulcsokat, indítsák újra az Internet Information Services (IIS) szolgáltatást, valamint telepítsék a Microsoft Defender for Endpoint szoftvert, vagy azzal egyenértékű védelmi alkalmazást.
A vizsgálatok tehát még zajlanak, így remélhetőleg rövidesen több információ is érkezik majd a sebezhetőségeket kihasználni próbáló támadókról, beleértve a fentebb említett csapatot is, amit a Microsoft Storm-2603 névvel látott el.
