הפרצה בשרתי SharePoint: סוכנות הגרעין האמריקאית נפגעה, במיקרוסופט מאשימים את סין

למרות עדכוני אבטחה ששוחררו לאורך הימים האחרונים, במיקרוסופט מעריכים כי קבוצות תקיפה ימשיכו לתקוף ארגונים שלא יעדכנו את השרתים. בינתיים, בחברה זיהו את הקבוצות שאחראיות על ניצול הפרצה, כולן מקושרות לממשל הסיני

ניב גילינסקי
23.7.25
sharepoint, מיקרוסופט

תמונה: Dreamstime

פרצת האבטחה החמורה שנחשפה בימים האחרונים בשרתי Microsoft SharePoint ממשיכה לעורר סערה. למרות שבמיקרוסופט שיחררו עדכון אבטחה למערכת SharePoint Server 2016 שתסגור את הפרצה, הלילה נודע כי סוכנות הגרעין האמריקאית נפרצה על ידי האקרים שניצלו את חולשת האבטחה. על פי דיווח של Bloomberg, נפרצו גם מערכות של משרד החינוך האמריקאי, רשות המיסים של פלורידה ובית הנבחרים של מדינת רוד איילנד. בדיווח נכתב עוד כי לא ידוע עד כה על דליפה של מידע רגיש או מסווג מתוך הסוכנות. בינתיים, על פי חוקרי סייבר, זוהו למעלה מ-100 שרתים שנפרצו של כ-60 קורבנות.

במיקרוסופט טוענים שנמצאו האשמים בפריצה לסוכנות הגרעין – קבוצות האקרים הפועלות בשירות סין, ומוסיפים כי הן פרצו ללא מעט ארגונים בזכות חולשת האבטחה שנחשפה. בחברה ממשיכים לחקור את הנושא, בשל הערכה כי קבוצות תקיפה נוספות יאמצו את חולשות האבטחה למתקפות נגד שרתים מקומיים שלא עודכנו. הקבוצות שאותן זיהתה מיקרוסופט כאחראיות על ניצול הפרצה הן:

  • Violet Typhoon: יחידת ריגול שמתמקדת בדמויות מפתח מהממשל והצבא.
  • Linen Typhoon: קבוצה חשאית שפועלת כבר מעל עשור כדי לגנוב קניין רוחני.
  • Storm-2603: קבוצת תקיפה שמקורה בסין. אחראית לניסיונות גניבת MachineKeys. בעבר שויכה לפריסות של כופרות כמו Warlock ו־Lockbit, אך מטרותיה הנוכחיות אינן ידועות בבירור.

שמרו על גישה גם לאחר התיקון

על אף שבפרסומים הראשונים נטען כי הזיהוי הראשוני של ניצול חולשת האבטחה היה ב-18 ביולי, על פי חברת CrowdStrike, הפריצה זוהתה עוד קודם לכן, ככל הנראה כבר ב-7 ביולי. בשלב הראשון תועדו סימנים לפעילות של גורמים הקשורים לסין, אך המתקפות התרחבו במהרה והפכו לתופעה רחבה עם לא מעט שחקנים שפועלים לנצל את הפרצה בטרם תיסגר.


כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime


הפרצות עצמן (CVE-2025-53770 ו-CVE-2025-53771) איפשרו לתוקפים לחדור לשרתי SharePoint מקומיים, לגנוב מפתחות קריפטוגרפיים ולהתחזות למשתמשים או שירותים גם לאחר שהמערכת תוקנה. חלק מהתוקפים שמרו על גישה מתמשכת בעזרת רכיבים מזויפים או דלתות אחוריות ששרדו גם עדכונים ואתחולים. לפי Eye Security, המידע שנגנב כלל גם סיסמאות, טוקנים וקודים מוצפנים.

בין הקורבנות נמנים גם ארגונים במגזר האנרגיה, מוסדות אקדמיים וחברות ייעוץ, לצד גופים ממשלתיים באירופה, המזרח התיכון, דרום מזרח אסיה, ברזיל, קנדה וארה"ב. לפחות תוקף אחד, Storm-2603, התמקד בגניבת קבצי MachineKeys מהשרתים שנפרצו, פעולה שמקנה גישה חוזרת גם לאחר החלת טלאי האבטחה.

מיקרוסופט מתקנת את הפרצה

זמן קצר לפני הדיווח על הפריצה לסוכנות הגרעין האמריקאית, במיקרוסופט דווקא ניסו לבשר חדשות טובות לארגונים והודיעו על שחרור תיקון אבטחה שיסגור את הפרצה במערכות SharePoint Server 2016. העדכון החדש שוחרר לאחר תיקונים דומים שפורסמו עבור גרסאות SharePoint Server 2019 ו-SharePoint Server Subscription Edition. למעשה, בלילה שבין שני לשלישי, מיקרוסופט סיימה לפתח את התיקונים לכל גרסאות SharePoint, כך שמי שיעדכן את התוכנה אמור להיות מוגן, לפחות ברמה הפורמלית.

עד לשחרור התיקונים, מנהלי מערכות נאלצו להסתמך על כלים זמניים בלבד. ניתן היה להשתמש ב-Microsoft Defender for Endpoint כדי לזהות ולחסום פעילות זדונית לאחר ניצול, או להפעיל את Full Mode של מנגנון AMSI כדי למנוע גישה מצד תוקפים לא מזוהים. לחלופין, חלק מהארגונים פשוט ניתקו את השרתים מהאינטרנט עד שיגיע התיקון.

למרות זאת, מומחי אבטחה מזהירים שהסכנה טרם חלפה. מאחר שחלק מהתוקפים כבר חדרו למערכות, מיקרוסופט ממליצה לא רק לעדכן את התוכנה, אלא גם לאתחל את שרתי IIS ולבצע ריענון למפתחות המכונה של ASP.NET – כדי למנוע גישה חוזרת על בסיס מפתחות שנגנבו במהלך הפריצה.

משרות פתוחות

קטגוריות

זה המקום להכיר את החברות, המשרדים וכל מי שעושה את ההייטק בישראל (ויש גם מלא משרות פתוחות!) #תוכן מקודם