"עקב המתקפות על SharePoint, על חברות לחשוב מחדש על אבטחה"

גל של מתקפות סייבר שאירעו בימים האחרונים סיכן מאות ואלפי ארגונים שיש להם שרתי SharePoint של מיקרוסופט בתצורת און-פרם, "בקרקע". האקרים ניצלו פגיעויות שהתגלו באחרונה במערכות אלה וכיוונו את המתקפות לכמה סוכנויות ממשל בארצות הברית, בהן המינהל הפדרלי לביטחון גרעיני.

לדברי סינת'יה קייזר, לשעבר סגנית מנהל חטיבת הסייבר של ה-FBI, "לארגונים עשויות להיות מגוון סיבות לדבוק באסטרטגיה של שרתים אלה בתצורה מקומית, אלא שמתקפות נרחבות, המכוונות לשרתים – הן עילה לערוך מחדש את ניהול וחישוב הסיכונים שלהם".

"המתקפות, שארגונים חשים את היקפן הנרחב", אמרה קייזר, כיום סגנית נשיא בכירה בסטארט-אפ נגד תוכנות כופר Halcyon, "אמורות לגרום לארגונים שיש להם הטמעה מקומית של SharePoint לשקול מחדש מעבר לענן. יש ארגונים שנדרשים לשקול ברצינות את העלויות והיתרונות האלה – ואולי פשוט לחשוב מחדש על חישוב הסיכון".

חוקרים צפו באלפי ניסיונות תקיפה נגד לקוחות שיש להם שרתים בהטמעה מקומית. שליש מהמתקפות כוונו נגד ארגונים בארצות הברית וכעשירית – נגד מטרות קנדיות. כמחצית מהארגונים שהותקפו הם מהמגזר הממשלתי, חלקם חברות תוכנה ומיעוטם ארגוני טלקום. אחד החוקרים ציין כי "סוכנויות ממשלתיות רבות ממשיכות להשתמש בשרתי SharePoint מקומיים מכמה סיבות – או מתוך הכרח, או אולי אפילו מבלי להבין את הסיכונים הטמונים בכך". חוקרים ציינו שייתכנו מקרים שבהם יש במערך המחשוב בארגון שרת מקומי, שאיש לא עושה בו שימוש, אבל "אולי הוא נחשף לאינטרנט, ולא נערכה ביקורת על המערכות הפונות החוצה – ולכן, איש לא יודע על כך".

בעבר הודיעה מיקרוסופט כי שרתי SharePoint Server 2016 ו-2019 "יגיעו לסיום התמיכה" בעוד קצת פחות משנה, ב-14 ביולי 2026. משמעות הדבר היא שלפחות עבור לקוחות אלה – הלחץ לעבור לענן כבר קיים, והסיכונים הכרוכים בהישארות בתצורה מקומית רק יתעצמו בהמשך.

מומחים ציינו כי "מדובר בסיכון מתמשך: ארגונים שיש להם שרתים בתצורה מקומית וכבר נפגעו בגל ההתקפות האחרון ימשיכו להוות מוקד למתקפות נוספות מצד שחקני האיום. חשוב לנקוט בצעדי הגנה נרחבים כדי להבטיח שלתוקפים לא תהיה עוד גישה למערכות. הטלאות לבדן לא יספיקו, אם שחקני האיום כבר חדרו".

לפחות חלק מהמתקפות מקושרות לסין

חוקרי איומים בגוגל קלאוד ובמיקרוסופט קישרו לפחות חלק מהמתקפות לשחקני איומים מסין, לרבות קבוצות תקיפה בסייבר שמתמקדות בגניבת קניין רוחני, ריגול וכופרות. יש לציין שהחולשות שנוצלו לא פגעו בארגונים שהשתמשו ב-SharePoint Online על Microsoft 365.

מיקרוסופט הודיעה בסוף השבוע שהיא הבחינה שחלק משחקני האיום מסין התקיפו תוך ניצול החולשה – עם כופרות. שחקן האיום, שתויג כ-Storm-2603, נצפה בעבר מתקיף עם נוזקות ורוגלות מסוג Warlock ו-LockBit. עוד הבחינו החוקרים בהאקרים חברי שתי קבוצות מ-"משפחת" טייפון, שמבצעת גניבת קניין רוחני וכן ריגול. "שחקני איום נוספים ימשיכו לנצל פרצות אלה כדי להמשיך ולתקוף על בסיס ניצול החולשה בשרתים המקומיים", ציינו חוקרי מיקרוסופט.

על אף שמיקרוסופט פרסמה את כל התיקונים עבור השרתים, "התוקפים ימשיכו לנצל את הפגיעויות בחודשים הקרובים. יש לא מעט מקרים שבהם תיקון שכזה לא מספיק כדי למנוע את פגיעת שחקני האיומים. זה לא מצב שבו מבוצע תיקון והתקלה נעלמת", כתבה החברה.