
黑客正利用漏洞攻击SharePoint及关联的微软服务,这将成为企业Mac用户本周面临的重大安全问题。
微软生产力工具在企业界广泛应用,其中SharePoint是最重要的协作平台之一。然而由于黑客攻击,企业对SharePoint的依赖正成为隐患。
自上周六起,微软警告发现针对SharePoint服务器的活跃攻击,包括针对”本地部署SharePoint Server客户”的攻击,即企业环境中使用SharePoint的服务器。
微软强调此次仅影响SharePoint Server,不包括Microsoft 365中的SharePoint Online。这意味着攻击主要针对需要自建服务器的大型机构和政府部门。
受攻击企业可能面临服务器数据窃取、密码泄露,以及凭证被用于攻击企业网络其他部分的风险。组织内部使用的关联服务如Outlook和OneDrive同样面临威胁。
据《华盛顿邮报》报道,美国政府及加拿大、澳大利亚执法部门正在调查此次攻击。
漏洞利用分析
Eye Security于7月18日首次发现攻击,检测到SharePoint服务器存在远程代码执行漏洞。该攻击链基于5月Pwn2Own黑客大赛中发现的两个漏洞。
攻击者无需认证即可访问SharePoint服务器。美国网络安全和基础设施安全局(CISA)于7月20日发布了微软关于该漏洞的指南。
虽然当时被认为是概念验证且未公开代码,但仍被授予CVE编号并命名为ToolShell。
微软已通过SharePoint 2019和SharePoint订阅版的补丁部分解决问题,同时正在为SharePoint 2019和2016开发更多安全更新。
Mac用户防护建议
由于攻击针对企业服务器而非感染系统,Mac用户和其他计算机用户的个人系统不会直接受影响,但可能涉及的服务器间接问题另当别论。
由于攻击者可能窃取SharePoint服务器凭证,即使在打补丁后仍可能重新获取访问权限。因此服务器管理员需高度警惕,在系统锁定和用户访问管理上更加谨慎。
除常规数字安全建议外,此次入侵给普通用户带来新威胁。攻击者可能已获取用户凭证,可向企业网络内其他用户发送看似完全合法的消息。
对可能因邮件来自合法企业账户而轻信的用户来说,他们更容易相信邮件内容,即使是可疑网站的链接。
终端用户必须保持高度警惕,特别是能访问大型企业自建SharePoint服务器的用户。