Microsoft publie un correctif d'urgence pour SharePoint après des cyberattaques

Microsoft a publié un correctif d'urgence pour fermer une vulnérabilité dans son logiciel SharePoint que les pirates ont exploitée pour mener des attaques à grande échelle contre des entreprises et au moins certaines agences fédérales.

Le géant du logiciel a déclaré samedi qu'il était au courant d'"attaques actives" qui exploitaient des vulnérabilités dans le programme, un produit qui permet aux entreprises et autres sociétés de créer des sites Web.

Selon le Washington Post, les pirates informatiques ont piraté des agences fédérales et étatiques américaines ainsi que des universités et des sociétés énergétiques grâce à cette vulnérabilité.

Dimanche, Microsoft a mis à jour ses instructions pour résoudre le problème avec SharePoint Server 2019 et SharePoint Server Subscription Edition. Les ingénieurs travaillaient toujours sur un correctif pour l'ancienne version de SharePoint Server 2016.

L'attaque était une faille dite « zero-day », c'est-à-dire une vulnérabilité jusqu'alors inconnue exploitée par des pirates informatiques, souvent pour voler des données sensibles et des mots de passe. Cette vulnérabilité pouvait également permettre aux pirates d'accéder à des services connectés à SharePoint, notamment OneDrive et Teams.

« Une fois à l'intérieur, ils peuvent accéder à tout le contenu SharePoint, aux fichiers système et aux configurations et se déplacer latéralement dans le domaine Windows », a noté la société de recherche Eye Security basée aux Pays-Bas dans une note de recherche sur la violation.

Il a ajouté : « Étant donné que SharePoint se connecte souvent à des services de base tels qu'Outlook, Teams et OneDrive, une violation peut rapidement conduire au vol de données, à la collecte de mots de passe et à des mouvements latéraux sur le réseau. »

Microsoft a indiqué dans son blog avoir découvert au moins des dizaines de systèmes compromis dans le monde. Les ingénieurs en sécurité ont indiqué que les attaques se sont produites par vagues les 18 et 19 juillet.

Bien que l'ampleur de l'attaque soit encore en cours d'évaluation, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a averti que l' impact pourrait être généralisé et a recommandé que tous les serveurs impactés par l'exploit soient déconnectés d'Internet jusqu'à ce qu'ils soient corrigés.