Microsoft перевела старые версии SharePoint на систему искусственного жизнеобеспечения. Хакеры этим пользуются.

Сотни организаций по всему миру пострадали от утечек данных на этой неделе, когда группа хакеров поспешила воспользоваться недавно обнаруженной уязвимостью в старых версиях инструмента обмена файлами Microsoft SharePoint. Серия утечек усугубляет и без того острую и сложную ситуацию: организации, давно пользующиеся SharePoint, могут столкнуться с повышенным риском, продолжая использовать этот сервис, в то время как Microsoft сворачивает поддержку платформы в пользу новых облачных решений.

Компания Microsoft заявила во вторник, что, помимо других злоумышленников, она столкнулась с несколькими хакерскими группами , связанными с Китаем, эксплуатирующими уязвимость, которая, в частности, присутствует в старых версиях SharePoint, размещенных на собственных серверах организаций. Она не затрагивает новую облачную версию SharePoint, которую Microsoft уже много лет призывает клиентов использовать. Bloomberg первым сообщил в среду, что одной из жертв стало Национальное управление по ядерной безопасности США, которое курирует и обслуживает ядерное оружие США.

«Локальные» или самоуправляемые серверы SharePoint являются популярной целью для хакеров, поскольку организации часто настраивают их таким образом, что они оказываются в открытом Интернете, а затем забывают о них или не хотят выделять бюджет на их замену. Даже если исправления доступны, владелец может пренебречь их применением. Однако с ошибкой, которая спровоцировала волну атак на этой неделе, все обстоит иначе. Хотя она относится к предыдущей уязвимости SharePoint, обнаруженной на хакерском конкурсе Pwn2Own в Берлине в мае, исправление, выпущенное Microsoft в начале этого месяца, само по себе было некорректным , а это означает, что даже организации, проявившие осторожность в области безопасности, были пойманы на этой неделе. Microsoft поспешила выпустить исправление для исправления, или то, что компания назвала «более надежной защитой» в своем предупреждении безопасности .

«В Microsoft мы стремимся, в том числе и в рамках инициативы «Безопасное будущее», удовлетворять потребности клиентов там, где они находятся», — заявил представитель Microsoft в заявлении, отправленном по электронной почте. «Это означает поддержку организаций, работающих на всех этапах внедрения облачных технологий, включая тех, кто управляет локальными системами».

Microsoft по-прежнему поддерживает SharePoint Server версий 2016 и 2019, выпуская обновления безопасности и другие исправления, но 14 июля 2026 года, по словам Microsoft, для обеих версий наступит «конец поддержки». SharePoint Server 2013 и более ранние версии уже завершили свой жизненный цикл и получают только самые критические обновления безопасности через платную службу «SharePoint Server Subscription Edition». В результате все версии сервера SharePoint всё чаще становятся частью цифрового захолустья, где удобство продолжения работы программного обеспечения сопряжено со значительным риском и потенциальной уязвимостью для пользователей, особенно когда серверы SharePoint находятся в открытом доступе в Интернет.

«Много лет назад Microsoft позиционировала SharePoint как более безопасную замену устаревшим инструментам обмена файлами Windows, поэтому такие организации, как государственные учреждения, инвестировали в установку этих серверов. А теперь они работают бесплатно, в отличие от подписки на Microsoft365 в облаке, которая подразумевает подписку», — говорит Джейк Уильямс, опытный специалист по реагированию на инциденты и вице-президент по исследованиям и разработкам в Hunter Strategy. «Поэтому Microsoft пытается подтолкнуть тех, кто воздерживается, взимая плату за расширенную поддержку. Но если вы подключаете сервер SharePoint к Интернету, я бы подчеркнул, что вам также необходимо заложить в бюджет средства на реагирование на инциденты, потому что этот сервер рано или поздно выйдет из строя».

Агентство кибербезопасности и безопасности инфраструктуры США во вторник заявило в руководстве по данной уязвимости: «CISA рекомендует отключить общедоступные версии SharePoint Server, срок поддержки которых истек (EOL) или срок службы которых истек (EOS). Например, SharePoint Server 2013 и более ранние версии находятся в состоянии зрелости, и их следует прекратить использовать, если они всё ещё используются».

Повсеместное распространение операционной системы Windows от Microsoft по всему миру привело к другим ситуациям, когда долгое прощание с ней создавало проблемы безопасности для пользователей, не воспользовавшихся её услугами, а также для других организаций или лиц, связанных с уязвимой организацией. Microsoft с трудом справлялась с большим количеством пользователей чрезвычайно популярных редакций Windows, включая Windows XP и Windows 7. Однако устаревшее программное обеспечение представляет собой сложную задачу для любого поставщика программного обеспечения или цифровой инфраструктуры. Например, ранее в этом году Oracle, как сообщается, уведомила некоторых клиентов об утечке после того, как злоумышленники скомпрометировали «устаревшую среду», которая была в значительной степени выведена из эксплуатации в 2017 году.

Проблема с такой службой, как SharePoint, заключается в том, что она часто действует как вспомогательный инструмент, никогда не оказываясь в центре внимания.

«В случае локального программного обеспечения, такого как SharePoint, которое глубоко интегрировано в систему идентификации Microsoft, существует множество точек уязвимости, которые необходимо постоянно отслеживать, чтобы знать, выявлять и устранять критические уязвимости», — говорит Боб Хубер, директор по безопасности в компании Tenable, занимающейся кибербезопасностью.

На вопрос о предполагаемой утечке данных Национального управления ядерной безопасности (NNSA) Министерство энергетики США подчеркнуло, что инцидент не затронул конфиденциальные или секретные данные. «В пятницу, 18 июля, эксплуатация уязвимости нулевого дня Microsoft SharePoint начала оказывать негативное влияние на Министерство энергетики США, включая NNSA», — сообщил представитель Министерства энергетики США изданию WIRED в заявлении. «Министерство пострадало минимально благодаря широкому использованию облака Microsoft M365 и высокоэффективных систем кибербезопасности. Пострадало лишь небольшое количество систем. NNSA принимает необходимые меры для снижения риска и переходит на другие решения по мере необходимости».

Microsoft не сразу ответила на запросы WIRED о комментарии относительно процесса прекращения поддержки SharePoint Server. Во вторник компания написала в блоге , что клиентам следует обновлять поддерживаемые версии SharePoint Server до последних исправлений, а также включить интерфейс сканирования на наличие вредоносных программ (Antimalware Scan Interface) от Microsoft и антивирусную программу Microsoft Defender.