微軟(Microsoft)近日發布緊急資安警報,警告全球多個政府機構與企業正遭遇針對SharePoint伺服器的「持續性攻擊」。駭客利用一項先前未揭露的漏洞入侵這套文件共享軟體,迫使微軟與美國聯邦調查局(FBI)緊急介入。微軟已釋出安全更新,並呼籲用戶立即安裝修補程式。
綜合路透、美國《新聞週刊》(Newsweek)報導,美國政府與加拿大、澳洲的合作單位目前正調查這起針對SharePoint伺服器的攻擊事件。這款伺服器軟體主要用於文件共享與管理,資安專家警告,全球已有數以萬計的系統暴露於風險之中。
美國聯邦調查局(FBI)20日表示,已掌握這些攻擊,並正與聯邦及私部門夥伴密切合作,但未提供進一步細節。
微軟於19日發布的資安警報指出,這些漏洞僅影響部署於機構內部的SharePoint伺服器;雲端服務Microsoft 365中的SharePoint Online則未受波及。
微軟發言人表示:「我們在應對過程中持續與美國網路安全暨基礎設施安全局(CISA)、國防部網路防禦司令部(DOD Cyber Defense Command),以及全球關鍵資安合作夥伴保持密切協調。」他補充,微軟已釋出安全更新,並呼籲用戶盡快安裝。
《華盛頓郵報》(Washington Post)率先報導這波駭客入侵行動,匿名駭客在過去幾天利用一項漏洞,對美國及多個國際機構與企業發動攻擊。
根據該報說法,這次入侵行動屬於「零時差攻擊」(zero-day attack),即利用一項先前未被揭露的安全漏洞發動攻擊。專家指出,目前已有數萬台伺服器面臨風險。
該漏洞影響範圍廣泛,包括政府機構、學校、醫療體系(含醫院)及大型企業。駭客可繞過多重驗證(MFA)與單一登入(SSO)防護機制,取得高權限存取。
多重驗證是一種要求用戶在密碼之外再提供額外驗證的安全機制,如手機驗證碼或人臉辨識;單一登入則讓用戶可一次登入後存取多個系統。
Palo Alto Networks旗下Unit 42資深經理雷諾斯(Pete Renals)表示,「我們已發現數十個遭入侵的組織,涵蓋商業與政府部門。」Unit 42威脅情報部門的技術長席科斯基(Michael Sikorski)指出,駭客已在受害系統內部建立據點,光靠修補漏洞已不足以徹底清除威脅。
由於SharePoint與微軟其他服務如Office、Teams等深度整合,這些攻擊的影響遠超過單一平台。席科斯基表示:「最令人擔憂的是SharePoint與整個微軟生態系的深度整合,一旦被攻破,就等於為整個網路打開了大門。」
荷蘭資安研究機構Eye Security指出,這些伺服器往往與Outlook電郵、Teams與其他核心服務相連,一旦遭入侵,可能導致敏感資料外洩與密碼遭竊。研究人員也警告,駭客已取得可讓他們在系統修補後仍能重返伺服器的加密金鑰。
一名匿名研究人員說:「所以,就算21日或22日釋出修補程式,也無法幫助過去72小時內已遭駭的受害者。」
目前尚不清楚此次全球性駭客行動的幕後主使或最終目的為何。。研究人員表示,至少有兩個美國聯邦機構的伺服器遭入侵。
微軟在警報中指出,此一漏洞「該漏洞使攻擊者可在取得存取權限後,冒充其他用戶或服務,在網路上發動假冒(spoofing)攻擊」。並提供相關建議,以防止駭客加以利用。
假冒攻擊是一種透過隱藏身分、假扮成可信任的人、機構或網站,進而操縱金融市場或欺騙機關的手法。
微軟早前也表示,正在為SharePoint 2016與2019版本開發修補更新。若用戶無法啟用建議的惡意程式防護措施,則應先將伺服器與網際網路斷線,直至安全更新釋出為止。
