Článek
Ještě během uplynulého víkendu bylo evidováno pouze 100 napadených subjektů. Kyberbezpečnostní společnost Eye Security jich nyní registruje už 400. Vychází přitom z počtu digitálních stop objevených při skenování serverů se zranitelnými verzemi SharePointu.
Tento způsob skenování nicméně nemusí odhalit všechny kybernetické nájezdy. „Ve skutečnosti jich bude pravděpodobně výrazně více, neboť ne všechny útoky zanechaly takové digitální stopy, které bychom byli schopni při skenování odhalit,“ prohlásil Vaisha Bernard ze společnosti Eye Security, který sám sebe označuje za etického hackera.
Byla to mimochodem právě společnost Eye Security, která jako první na globální průšvih způsobený jedinou chybou v jednom softwaru upozornila.
Bezpečnostní organizace Shadowserver dokonce uvedla, že ohrožených cílů po celém světě může být v současnosti více než 9000. Má přitom jít spíše o střízlivější odhad či chcete-li spodní hranici statistiky.
Globální problémy
Mezi zasaženými mají být vládní systémy v USA, Evropě i na Blízkém východě. Podle zdrojů agentury Bloomberg hackeři pronikli například do systémů amerického ministerstva školství, floridského ministerstva financí nebo Valného shromáždění státu Rhode Island. Útočníci se údajně dostali i do databází zdravotnických zařízení v USA a zaměřili se na univerzitu v jihovýchodní Asii.
„Toto je vysoce závažná a naléhavá hrozba,“ uvedl Michael Sikorski, technický ředitel kyberbezpečnostní divize Unit 42 společnosti Palo Alto Networks. „Díky úzké integraci SharePointu s dalšími službami Microsoftu, jako jsou Office, Teams, OneDrive nebo Outlook, může jediný průnik otevřít cestu k celé firemní síti.“
Společnost Microsoft potvrdila, že již vydala první opravy zranitelnosti. Zástupci společnosti ale zároveň přiznali, že „práce na dalších bezpečnostních aktualizacích pokračují“. To nasvědčuje tomu, že problémy nejsou ani zdaleka zažehnány.
Pouhá záplata nepomůže
Podle informací firmy Eye Security byla zranitelnost označována jako „ToolShell“ a umožňovala útočníkům přístup ke klíčům, které jim i po opravě systému umožňují přebírat identitu uživatelů a služeb.
Útočníci navíc mohli v kompromitovaných systémech zanechat tzv. zadní vrátka či upravené komponenty, které přetrvají i aktualizace a restartování. To jinými slovy znamená, že i po instalaci záplaty jsou kompromitované systémy dále zranitelné.
Zprávy od bezpečnostních firem CrowdStrike a Mandiant Consulting potvrzují, že útoků se účastní více různých hackerských skupin. Cílem jsou servery v zemích jako Brazílie, Kanada, Indonésie, Španělsko, Švýcarsko, Jihoafrická republika, Velká Británie a USA. Mnohé z obětí jsou podle dostupných údajů nadnárodní korporace i vládní úřady.
Zda se podařilo hackerům napadnout kvůli zranitelnosti také nějaké cíle v Česku, není zatím jasné.
Podle Vaishy Bernardové z Eye Security se útoky nejeví jako cílené, ale spíše jako plošné snahy kompromitovat co největší počet obětí. Bernardová uvádí, že už bylo identifikováno nejméně 50 serverů, které hackeři úspěšně ovládli.
