Новости Почти 10000 серверов под ударом. Хакеры взламывают SharePoint через три новые уязвимости

NewsMaker

I'm just a script
Премиум
28,323
46
8 Ноя 2022
Хакеры похищают ключи IIS через уязвимости в серверах SharePoint.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:1200/675;margin-bottom:2rem;overflow:hidden">
ibuv6a5fzqwle03m53uxpweao2d1ee43.jpg

<div itemprop="articleBody">Агентство по кибербезопасности и защите инфраструктуры США предупредило об атаках на локальные серверы SharePoint , доступные из интернета. Злоумышленники уже используют три уязвимости, которые позволяют обойти проверку подлинности, проникнуть в систему и установить вредоносные программы.

Под угрозой находятся все поддерживаемые локальные версии SharePoint Server, включая Subscription Edition, SharePoint Server 2019 и SharePoint Server 2016. Активные атаки связаны с уязвимостями CVE-2026-32201 (6.5 Medium) , CVE-2026-45659 (8.8 High) и CVE-2026-56164 (9.8 Critical) . После взлома атакующие могут удалённо выполнять код, похищать ключи Internet Information Services и закрепляться в системе. Полученный доступ позволяет развивать атаку и загружать вредоносные программы на скомпрометированные серверы.

По данным Shadowserver, сейчас из интернета доступны почти 10 000 серверов Microsoft SharePoint. Более 800 из них не защищены от уязвимостей CVE-2026-32201 (6.5 Medium) и CVE-2026-45659 (8.8 High). Сколько серверов уязвимы перед CVE-2026-56164 (9.8 Critical), пока неизвестно. В статистику также могут входить приманки, созданные специально для наблюдения за действиями злоумышленников.

Администраторам следует включить интерфейс проверки на вредоносный код AMSI для каждого веб-приложения SharePoint и, где возможно, выбрать полный режим анализа тела запросов. AMSI и Microsoft Defender Antivirus уже распознают попытки обойти проверку подлинности, удалённо выполнить код и похитить защищённые секреты IIS.

Перед заменой ключей IIS нужно сначала найти и удалить все следы вторжения. Если в системе останется программа для сбора ключей, злоумышленники смогут повторно похитить новые данные. Microsoft рекомендует разделить серверы SharePoint по ролям, оставить открытыми только необходимые службы и порты, закрыть внешний доступ к центральному администрированию и ограничить связь с базами данных доверенными узлами.

Серверы не следует напрямую выставлять в интернет, а при необходимости внешнего доступа их нужно размещать за обратным прокси-сервером. В Web.config следует отключить вывод технических подробностей, сократить список разрешённых компонентов и установить разумные ограничения на загрузку файлов. Также нельзя отключать системные службы SharePoint без проверки их назначения.
 
Источник новости
www.securitylab.ru

Похожие темы