Microsoft vermoedt dat hackers in dienst van de Chinese staat de zero day-bug in SharePoint actief misbruikt hebben met als doel informatie te stelen van grote bedrijven en overheidsinstanties.
Microsoft wijst naar twee hackersgroeperingen gesponsord door China als de verantwoordelijken voor het actieve misbruik van een pas ontdekte bug in SharePoint. Die zero day-bug werd vrijdag ontdekt nadat aanvallers er gebruik van maakten om de SharePoint-omgevingen van organisaties wereldwijd binnen te dringen.
Drie Chinese collectieven
Drie Chinese hackerscollectieven staan onder verdenking: Linen Typhoon, Violet Typhoon en Storm-2603. Het Nederlandse Eye Security, dat de aanval afgelopen vrijdag ontdekte, spreekt van een gecoördineerde campagne van massale exploitatie. Hackers kraakten al zeker systemen van bedrijven en instellingen in de VS en het Midden-Oosten en ook in Europa zouden er slachtoffers zijn.
lees ook
Hackers vallen Microsoft SharePoint wereldwijd aan via zero day: patch nu
Het is niet uitgesloten dat nog andere groeperingen de kwetsbaarheid misbruiken. Onderzoek daarnaar loopt nog, aldus Microsoft. Het bedrijf geeft aan er nagenoeg zeker van te zijn dat criminelen de bug zullen blijven viseren in toekomstige aanvallen.
Wie SharePoint on-premises draait moet de omgeving niet alleen dringend patchen, maar ook andere maatregelen nemen zoals de rotatie van ASP.NET-sleutels. Beheerders gaan er best van uit dat er malafide toegang op de systemen heeft plaatsgevonden.
Heruitgave van Exchange 2021
Het hele verhaal klinkt haast als een heruitgave van het grote Exchange-hack in 2021. Toen konden Chinese hackers via een zero day-bug in Microsoft Exchange binnendringen in de omgeving van bedrijven en overheidsinstellingen over de hele wereld. Na onderzoek werd de schuld voor de aanvalscampagne in de schoenen van de Chinese Staatsveiligheid geschoven.
De schaal van het misbruik met deze SharePoint-bug lijkt kleiner, al zal de werkelijke impact de komende dagen en weken nog moeten blijken. In België vraagt het CCB aan slachtoffers om zicht te melden. Het hele voorval straalt in ieder geval niet goed af op Microsoft, dat ondanks extra inspanningen rond beveiliging een hack op grote schaal door een bug in de eigen software opnieuw niet kon voorkomen.
Daarbij valt wel op dat klanten van SharePoint binnen de Microsoft 365-omgeving opnieuw gevrijwaard blijven. Enkel gebruikers van SharePoint on-premises lopen een (groot) risico.