Microsoft heeft oudere versies van SharePoint in levensonderhoud gesteld. Hackers maken er misbruik van.

Honderden organisaties wereldwijd kregen deze week te maken met datalekken, doordat een reeks hackers zich haastte om misbruik te maken van een recent ontdekte kwetsbaarheid in oudere versies van Microsoft's tool voor het delen van bestanden, SharePoint. De reeks datalekken draagt bij aan een toch al urgente en complexe dynamiek: instellingen die al lang SharePoint gebruiken, lopen mogelijk een groter risico door de service te blijven gebruiken, net nu Microsoft de ondersteuning voor een platform afbouwt ten gunste van nieuwere cloudoplossingen.

Microsoft meldde dinsdag dat het, naast andere actoren, meerdere hackersgroepen met banden met China heeft gezien die misbruik maken van de kwetsbaarheid. Deze kwetsbaarheid is specifiek aanwezig in oudere versies van SharePoint die door organisaties zelf worden gehost. De kwetsbaarheid heeft geen invloed op de nieuwere, cloudgebaseerde versie van SharePoint die Microsoft klanten al jaren aanmoedigt te implementeren. Bloomberg meldde woensdag als eerste dat een van de slachtoffers de National Nuclear Security Administration van de Verenigde Staten is, die toezicht houdt op en onderhoudt op Amerikaanse kernwapens.

"On-premises" of zelfbeheerde SharePoint-servers zijn een populair doelwit voor hackers, omdat organisaties ze vaak zo instellen dat ze openlijk op het internet staan en ze vervolgens vergeten of geen budget willen vrijmaken om ze te vervangen. Zelfs als er oplossingen beschikbaar zijn, kan de eigenaar nalaten deze toe te passen. Dat is echter niet het geval met de bug die de golf van aanvallen van deze week veroorzaakte. Hoewel de bug verband houdt met een eerdere SharePoint-kwetsbaarheid die werd ontdekt tijdens de Pwn2Own-hackwedstrijd in Berlijn in mei, was de patch die Microsoft eerder deze maand uitbracht zelf gebrekkig , wat betekende dat zelfs organisaties die hun beveiligingsinspanningen hadden verricht, werden verrast. Microsoft haastte zich deze week om een oplossing voor de oplossing uit te brengen, of wat het bedrijf in zijn beveiligingswaarschuwing "robuustere bescherming" noemde.

"Bij Microsoft is onze toewijding – verankerd in het Secure Future Initiative – erop gericht om klanten te ontmoeten waar ze zijn", aldus een woordvoerder van Microsoft in een e-mailverklaring. "Dat betekent dat we organisaties ondersteunen in het volledige spectrum van cloudadoptie, inclusief organisaties die on-premises systemen beheren."

Microsoft ondersteunt SharePoint Server-versies 2016 en 2019 nog steeds met beveiligingsupdates en andere oplossingen, maar beide bereiken wat Microsoft "End of Support" noemt op 14 juli 2026. SharePoint Server 2013 en eerder hebben het einde van hun levensduur al bereikt en ontvangen alleen de meest essentiële beveiligingsupdates via een betaalde service genaamd "SharePoint Server Subscription Edition". Hierdoor bevinden alle SharePoint Server-versies zich steeds meer in een digitaal achtergebleven gebied, waar het gemak van het blijven gebruiken van de software gepaard gaat met aanzienlijke risico's en potentiële blootstelling voor gebruikers, vooral wanneer SharePoint-servers open en bloot op internet staan.

"Jaren geleden positioneerde Microsoft SharePoint als een veiligere vervanging voor de ouderwetse Windows-tools voor het delen van bestanden. Daarom investeerden organisaties zoals overheidsinstanties in de installatie van die servers. En nu draaien ze gewoon zonder extra kosten, in tegenstelling tot een Microsoft 365-abonnement in de cloud waarvoor een abonnement vereist is", zegt Jake Williams, een ervaren incidentresponder en vicepresident onderzoek en ontwikkeling bij Hunter Strategy. "Microsoft probeert de achterblijvers dus een zetje te geven door kosten in rekening te brengen voor uitgebreide ondersteuning. Maar als je een SharePoint-server blootstelt aan internet, wil ik benadrukken dat je ook budget moet hebben voor incidentrespons, want die server zal uiteindelijk toch vastlopen."

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) stelde dinsdag in een richtlijn over de kwetsbaarheid: "CISA adviseert om openbare versies van SharePoint Server los te koppelen die het einde van hun levensduur (EOL) of het einde van hun service (EOS) hebben bereikt. SharePoint Server 2013 en eerdere versies zijn bijvoorbeeld aan het einde van hun levensduur en dienen te worden stopgezet als ze nog in gebruik zijn."

De wereldwijde alomtegenwoordigheid van Microsofts Windows-besturingssysteem heeft geleid tot andere situaties waarin een lange afwezigheid beveiligingsproblemen heeft veroorzaakt voor gebruikers die het systeem niet meer gebruiken, en voor andere organisaties of personen met connecties met een kwetsbare entiteit. Microsoft worstelde met de lange lijst van gebruikers van extreem populaire Windows-edities, waaronder Windows XP en Windows 7. Maar legacy-software vormt een uitdaging voor elke aanbieder van software of digitale infrastructuur. Eerder dit jaar meldde Oracle bijvoorbeeld dat het enkele klanten op de hoogte heeft gesteld van een inbreuk nadat aanvallers een "legacy-omgeving" hadden gecompromitteerd die in 2017 grotendeels was afgeschaft.

De uitdaging bij een service als SharePoint is dat deze vaak slechts een hulpmiddel is en nooit centraal staat.

"Voor on-premises software zoals SharePoint, dat diep is geïntegreerd in de Microsoft-identiteitsstack, zijn er meerdere blootstellingspunten die continu moeten worden bewaakt om kritieke hiaten te identificeren, bloot te leggen en te dichten", aldus Bob Huber, Chief Security Officer bij cybersecuritybedrijf Tenable.

Gevraagd naar de vermeende inbreuk bij de National Nuclear Security Administration (NNSA), benadrukte het ministerie van Energie dat het incident geen gevoelige of geheime gegevens had getroffen. "Op vrijdag 18 juli begon de exploitatie van een zero-day kwetsbaarheid in Microsoft SharePoint het ministerie van Energie, inclusief de NNSA, te treffen", vertelde een woordvoerder van het ministerie aan WIRED in een verklaring. "Het ministerie werd minimaal getroffen door het wijdverbreide gebruik van de Microsoft M365-cloud en zeer capabele cybersecuritysystemen. Een zeer beperkt aantal systemen werd getroffen. De NNSA neemt passende maatregelen om de risico's te beperken en stapt zo nodig over op andere diensten."

Microsoft reageerde niet onmiddellijk op de verzoeken van WIRED om commentaar over het proces van het stopzetten van SharePoint Server. Het bedrijf schreef dinsdag in een blogpost dat klanten ondersteunde versies van SharePoint Server up-to-date moeten houden met de nieuwste patches en de "Antimalware Scan Interface" van Microsoft en Microsoft Defender Antivirus moeten inschakelen.