Hvis de kan ramme et atomagentur, kan de også bryde ind på dig: Hvad SharePoint-udnyttelsen betyder for din virksomhed

SharePoint-angrebet blev brugt mod kendte ofre, herunder den amerikanske National Nuclear Security Administration, Department of Homeland Security, Department of Energy og Department of Health and Human Services, men mange andre blev også ramt af eftervirkningerne. Her er, hvad det betyder for dig.

Den 20. juli udsendte Microsoft en nødplaster sammen med en advarsel, efter at angribere blev opdaget i aktivt at udnytte en kritisk sårbarhed i lokale SharePoint-servere til at omgå godkendelse. Hvis det lykkes, vil modstandere kunne få adgang til privat SharePoint-indhold, herunder interne konfigurationer og filsystemer.

Det viste sig hurtigt, at fejlen spores som CVE-2025-53770 og en variant CVE-2025-53771, samlet kendt som ToolShell, blev brugt til at distribuere ransomware.

Dage senere stod det klart, at SharePoint-rettelsen kom efter en mislykket sikkerhedsrettelse tidligere på måneden. Microsoft indrømmede, at deres oprindelige løsning på fejlen – identificeret ved en hackerkonkurrence i maj – ikke virkede, hvilket tvang dem til at udgive yderligere programrettelser for at løse problemet.

På det tidspunkt var modstandere fra Kina og nationalstaterne, herunder Linen Typhoon og Violet Typhoon – såvel som banden Storm-2603 – havde krævet ofre, herunder den amerikanske National Nuclear Security Administration, Department of Homeland Security, Department of Energy og Department of Health and Human Services.

Microsoft indrømmede også, at andre grupper brugte sårbarheden mere bredt, f.eks. ransomware inkluderet som en del af angrebene. Det menes, at Microsoft SharePoint ToolShell-angrebene betød, at modstandere kompromitterede 396 SharePoint-systemer på tværs af mere end 145 organisationer i 41 lande.

Med så højprofilerede mål kan SharePoint-angrebene føles langt fra den daglige drift. Alligevel bør hændelsen være et vækkeur for enhver organisation, der er afhængig af Microsoft-tjenester, cloudplatforme eller lokale samarbejdsværktøjer. Hvis angribere kan fortsætte i forhærdede offentlige miljøer, kan de nemt udnytte sårbare forretningssystemer ved hjælp af de samme taktikker.

Så hvad betyder SharePoint-angrebet for virksomheder, og hvordan kan du forbedre din sikkerhedstilstand for at undgå at blive fanget i krydsilden fra angreb som disse?

Sikkerhed gennem uklarhed

SharePoint ToolShell-angrebene ødelagde den farlige myte om 'sikkerhed gennem uklarhed': Den falske tro på, at mindre organisationer ikke vil blive målrettet, fordi de ikke er vigtige nok, fortæller Dario Perfettibile, vicepræsident og administrerende direktør for den europæiske drift hos Kiteworks. ISMS.online.

Han siger, at bruddets "enorme omfang" afslører, hvordan moderne cyberangreb "bruger automatiseret udnyttelse til at målrette sårbarheder i stor skala" i stedet for blot at fokusere på specifikke organisationer. "Med over 9,300 SharePoint-servere eksponeret online brugte angriberne automatiseret scanning til at identificere tusindvis af sårbare systemer og udnyttede alt, hvad de fandt."

Kampagnens udvikling fra statsstøttet spionage til opportunistiske ransomware-angreb "illustrerer dette perfekt", siger Perfettibile. "Storm-2603 så eksponerede servere som muligheder for monetisering."

SharePoint-angrebene fremhævede også, hvordan patching alene ikke altid løser problemet, hvis angribere allerede gemmer sig i systemer efter den første adgang. I tilfældet med SharePoint brugte angriberne stealth-teknikker, der fortsatte selv efter patches, og udnyttede dermed svage interne kontroller.

Selve angrebet er bekymrende nok, men en anden ting at overveje er, hvordan angriberne agerer, når de først er indenfor, siger Pierre Noel, CISO EMEA hos Expel. "De har gjort teknikker som 'at leve af jorden'...ved hjælp af de samme administrationsværktøjer, som dit IT-team bruger. Det, der tidligere var forbeholdt sofistikerede angribere, er nu integreret i alle ransomware-strategier.”

Med dette i tankerne kan de samme taktikker, der bruges til spionage på nationalt niveau, "lige så let anvendes mod en mellemstor detailhandler eller sundhedsudbyder", advarer han.

Dårlig synlighed

Risikoen forværres yderligere af, at mange organisationer har dårligt overblik over deres samarbejdsværktøjer, hvilket skaber blinde vinkler i risikovurderinger. Selvom samarbejdsværktøjer er afgørende for produktiviteten, "får de sjældent det samme niveau af overvågning som endpoints eller firewalls", siger Noel. "Logfiler er ufuldstændige, sikkerhedsintegrationer er en eftertanke, og de fleste risikovurderinger springer dem helt over, hvilket efterlader de platforme, hvor medarbejderne rent faktisk arbejder, uovervågede og eksponerede."

Microsoft E3-licenser kan begrænse sikkerhedslogfiler under belastning og forsinke levering op til 72 timer, mens de fleste platforme kun opbevarer revisionslogfiler i 90 dage til et år, siger Perfettibile. "Dette er alt for kort tid, når retsmedicinske undersøgelser afslørede, at SharePoint-kompromitteringer opstod måneder før opdagelse."

Denne "fragmenterede overvågning" skaber også "perfekte betingelser for uopdaget dataudvinding", advarer Perfettibile. "Angribere kan distribuere deres aktiviteter på tværs af flere platforme for at holde sig under hvert systems individuelle detektionstærskler, mens sikkerhedsteams mangler den platformoverskridende adfærdsanalyse, der er nødvendig for at spotte mønstre."

Sikkerhedsforanstaltninger

SharePoint-angrebene er en påmindelse om, at alle virksomheder er sårbare over for brud, selvom angribere rammer højprofilerede mål først. Med dette i tankerne er der nogle vigtige skridt, du kan tage nu for at beskytte dig selv.

Saeed Abbasi, senior manager for produktledelse hos Qualys Threat Research Unit, råder virksomheder til at gennemgå en "nødopdagelsesaudit" for at kortlægge hele deres SharePoint-angrebsflade, både lokalt og online. "Identificer alle internet-eksponerede aktiver, deres version og ejer, og prioriter derefter afhjælpning baseret på eksponering og udnyttelsesevne, og udsted kritiske programrettelser under aggressive serviceniveauaftaler."

For ethvert aktiv, hvor øjeblikkelig patching ikke er mulig, anbefaler Abbasi at anvende "avancerede afhjælpningsteknikker" – såsom at isolere værten eller implementere midlertidige afhjælpningsforanstaltninger – indtil en permanent løsning kan implementeres.

Samtidig er det en god idé at forbedre alle konfigurationer. "Håndhæv multifaktor-godkendelse og betinget adgang, tilbagekald offentlig adgang og revidér tredjeparts plugins," siger Abbasi.

Mere generelt skal organisationer, for at beskytte sig mod SharePoint-lignende angreb, implementere en zero-trust-arkitektur, der verificerer alle anmodninger, selv dem fra "betroede" interne systemer, råder Perfettibile. "Dette er vigtigt, da angriberne brugte legitime værktøjer og stjålne kryptografiske nøgler for at opretholde persistens efter den første kompromittering."

Kritisk datasegmentering er "essentiel", tilføjer han. "Isoler samarbejdsplatforme fra kerneforretningssystemer, håndhæv adgang med færrest rettigheder som standard i stedet for åben deling, og sørg for, at et brud på én platform ikke kan sprede sig på tværs af hele din infrastruktur."

Rammer som f.eks ISO 27001 der hjælper med at vurdere din individuelle risiko, kan også reducere risikoen for at blive opdaget af sårbarheder som f.eks. SharePoint-fejlen.

Som en del af dette er regelmæssige bordøvelser, der simulerer brud på samarbejdsplatforme, nyttige til at afdække blinde vinkler. "Test, om dit team kan opdage stjålne godkendelsesnøgler, identificere lateral bevægelse mellem platforme og udføre inddæmning, når selve patches er blevet omgået," siger Perfettibile.

Samtidig kan virksomheder vurdere deres Microsoft-forsyningskæderisici ved at forstå, at de er sårbare over for brud på flere lejere, der påvirker andre organisationer, siger Perfettibile. "Microsoft kontrollerer dine krypteringsnøgler, hvilket gør dig modtagelig for blinde stævninger, og tredjeparts SharePoint-plugins skaber yderligere angrebsvektorer."