ハッカーは脆弱性を悪用して SharePoint および関連する Microsoft サービスを攻撃しており、今週は企業の Mac ユーザーにとって大きな問題となるでしょう。
Microsoftの生産性向上ツールは企業全体で広く利用されており、中でもSharePointはコラボレーションにおいて最も重要なツールの一つです。しかし、ハッカーの攻撃により、MicrosoftのSharePointへの依存が問題となっています。
マイクロソフトは土曜日から、SharePointサーバーに対するアクティブな攻撃に遭遇したと警告を発しています。これには、「オンプレミスのSharePoint Server顧客」、つまりSharePointを使用している企業環境のサーバーへの攻撃が含まれていました。
Microsoft はまた、今回の攻撃は SharePoint Server のみに影響し、Microsoft 365 の一部である SharePoint Online には影響しないことを強調しています。つまり、攻撃は、積極的に独自のサーバーをホストする必要がある主要な組織や政府機関が使用するサーバーに対して発生する可能性が高いことを意味します。
攻撃の結果、企業はサーバーや接続システムからのデータの盗難、パスワードの窃取、そして認証情報の再利用による企業ネットワークの他の部分への攻撃といった問題に直面する可能性があります。OutlookやOneDriveなど、組織内で利用されている接続サービスも危険にさらされています。
ワシントン・ポスト紙によると、米国政府とカナダおよびオーストラリアの法執行機関がこの攻撃を捜査している。
脆弱性を悪用する
これらの攻撃は、Eye Securityによって7月18日に最初に発見され、SharePointサーバー上でリモートコード実行が検出されました。これは、5月に開催されたPwn2Ownハッキングコンテストで発見された2つのバグに基づく一連の攻撃でした。
これらのバグにより、攻撃者は認証なしでSharePointサーバーにアクセスできるようになりました。CISAは7月20日に、この脆弱性に関するMicrosoftからのガイダンスを公開しました。
これらは概念実証とみなされ、当時は公開コードはリリースされていませんでしたが、それでも CVE 番号が付与され、ToolShell と呼ばれていました。
Microsoftは、SharePoint 2019およびSharePointサブスクリプションエディションのパッチでこの問題を部分的に解決しました。また、SharePoint 2019とSharePoint 2016の両方に対して、さらなるセキュリティアップデートの提供に取り組んでいます。
Macユーザーが自分自身を守る方法
この攻撃はシステムへの感染ではなく企業サーバーへの攻撃であるため、Macユーザーやその他のコンピュータユーザーの個人システムが直接影響を受けることはありません。ただし、ユーザーが使用しているサーバーに関連する間接的な問題は別問題です。
Macユーザーは警戒を怠らないようにすべきだが、ハードウェアについては心配する必要はない
攻撃者はSharePointサーバーから資格情報を盗むことができるため、パッチ適用やセキュリティ強化後でもサーバーへのアクセスを回復できる可能性があります。そのため、サーバー管理者は、システムをロックダウンし、ユーザーアクセスを管理する際には、より一層の警戒と注意を払う必要があります。
ダウンロード、疑わしいリンク、その他の一般的な警告に関する通常のデジタル衛生アドバイスに加え、今回の侵入は一般ユーザーにとって新たな危険をもたらします。攻撃者はユーザーの認証情報を入手できるため、企業ネットワーク上の他のユーザーに、一見正当なメッセージのように見せかけたメッセージを送信できる可能性があります。
正当な企業アカウントから送信されたメールなので本物だと信じている無知なユーザーは、たとえ怪しい Web サイトへのリンクであっても、メッセージの内容をすべて信じてしまう可能性が高くなります。
エンド ユーザーも、特に大企業が運営する社内 SharePoint サーバーにアクセスする場合には、非常に注意する必要があります。
