פרצת אבטחה במיקרוסופט פגעה בממשלות, אוניברסיטאות וחברות אנרגיה

האקרים ניצלו חולשה בשירות ה-SharePoint של מיקרוסופט כדי לחדור לשרתי מדינות, מוסדות אקדמיים וספקי תשתיות. למיקרוסופט עדיין אין פתרון, והבהלה בעיצומה.

האקרים הצליחו לנצל פרצת אבטחה חמורה בתוכנת שרת נפוצה של מיקרוסופט כדי לבצע מתקפת סייבר עולמית בימים האחרונים, כך לפי חוקרים פרטיים וגורמים רשמיים במדינות שונות. בין הנפגעים: סוכנויות ממשלתיות פדרליות ומדינתיות בארצות הברית, אוניברסיטאות, חברות אנרגיה, ואף חברת תקשורת גדולה באסיה.

הפריצה התבצעה דרך שירות ה-SharePoint של מיקרוסופט – פלטפורמה מרכזית לניהול ושיתוף מסמכים. לפי הערכות מומחים, עשרות אלפי שרתים ברחבי העולם נמצאים בסיכון, אך נכון לעכשיו מיקרוסופט טרם שחררה עדכון שמטפל בפרצה.

מומחי סייבר מזהירים כי מדובר במתקפת "אפס-ימים" – כלומר, פרצה שטרם נחשפה לפני כן, ולכן לא הייתה לה כל הגנה קיימת. חברת CrowdStrike מסרה כי "כל מי שמפעיל שרת SharePoint מקומי עלול להיפגע", וכינתה את החולשה "משמעותית מאוד".

ב-FBI אישרו כי הנושא נמצא בחקירה, ובמקביל שותפיה של ארצות הברית בקנדה ובאוסטרליה פתחו גם הם בבדיקות.

בחברת האבטחה Palo Alto Networks ציינו כי זיהו כבר עשרות ארגונים שנפרצו – הן מהסקטור הציבורי והן מהסקטור הפרטי. בין היתר דווח על פריצה לשרתי ממשלה בספרד, מוסד אקדמי בברזיל ורשות מקומית באלבקרקי.

החשש המרכזי כעת הוא מהמשך הגישה של ההאקרים לשרתים, גם לאחר שיתוקנו – בשל גניבה של מפתחות הצפנה שמאפשרים גישה חוזרת. לפי חברת Eye Security ההולנדית, התקפות כאלה עלולות לאפשר לא רק גניבת מידע רגיש, אלא גם התחזות למשתמשים פנימיים ואיסוף סיסמאות.

"עדכון אבטחה שיגיע מחר או מחרתיים לא יעזור למי שכבר נפרץ ב-72 השעות האחרונות", אמר אחד החוקרים.

בינתיים, מיקרוסופט ממליצה למשתמשים להפסיק זמנית את החיבור של שרתי SharePoint לאינטרנט – או לבצע שינויים ידניים בתוכנה, עד שתצא תיקון רשמי.

לפי משרד הביטחון האמריקני, מתקפה זו התאפשרה לאחר שמיקרוסופט תיקנה בתחילת החודש פרצה דומה – וההאקרים מיהרו לנצל תצורה קרובה שנותרה פגיעה.

זהו לא הכשל הראשון שמיוחס למיקרוסופט בשנים האחרונות: רק ב-2023 נחשפה פרצה חמורה שאפשרה האזנה של האקרים סינים לחשבונות אימייל ממשלתיים, כולל של מזכירת המסחר האמריקנית. בנוסף, דווח בעבר על פריצה לחשבונות בכירים ברשתות הפנימיות של החברה עצמה.

גם סוגיית התמיכה הסינית במיקרוסופט עלתה מחדש: ביום שישי נמסר כי החברה תפסיק להעסיק מהנדסים מסין בפרויקטים הקשורים לענן הביטחוני של הפנטגון, בעקבות תחקיר שחשף את הקשרים הללו.

במרכז לאבטחת אינטרנט (CIS) ציינו כי יידעו כ-100 ארגונים ברחבי ארצות הברית על כך שנפגעו או נמצאים בסיכון – בהם גם בתי ספר ציבוריים ואוניברסיטאות. ההתרעה בוצעה בלחץ של זמן, לאחר שצוותי אבטחת המידע בארגון קוצצו ב-65% עקב קיצוצים תקציביים.

לפי אחד ממומחי האבטחה, "יש כרגע בהלה אמיתית ברחבי ארצות הברית. כולם מנסים להבין מי נפרץ – ומה עוד עלול לקרות".