การโจมตีทางไซเบอร์ที่ซับซ้อนซึ่งมุ่งเป้าไปที่ซอฟต์แวร์ SharePoint ของ Microsoft ได้บุกรุกองค์กรหลายร้อยแห่งทั่วโลก รวมถึง US National Nuclear Security Administration ( NNSA ) ซึ่งดูแลคลังอาวุธนิวเคลียร์ของอเมริกา การละเมิดครั้งนี้เน้นย้ำถึงความเสี่ยงด้านความปลอดภัยที่เพิ่มขึ้นในขณะที่องค์กรต่างๆ ยังคงใช้ซอฟต์แวร์เก่าแบบ on-premises ในขณะที่ Microsoft กำลังเปลี่ยนผู้ใช้ไปสู่ทางเลือกบนคลาวด์
ช่องโหว่ Zero-Day ถูกใช้ประโยชน์โดยนักแสดงระดับรัฐ
การโจมตีเริ่มขึ้นเมื่อวันที่ 18 กรกฎาคม 2024 เมื่อกลุ่มแฮกเกอร์หลายกลุ่ม รวมถึงนักแสดงที่ได้รับการสนับสนุนจากรัฐจีนที่ระบุว่าเป็น Linen Typhoon , Violet Typhoon และ Storm-2603 ใช้ประโยชน์จากช่องโหว่ zero-day ใน SharePoint Server เวอร์ชันเก่าที่โฮสต์เอง ช่องโหว่นี้ส่งผลกระทบต่อการติดตั้งแบบ on-premises โดยเฉพาะและไม่ส่งผลกระทบต่อแพลตฟอร์ม M365 บนคลาวด์ของ Microsoft สิ่งที่ทำให้การโจมตีครั้งนี้น่าเป็นห่วงเป็นพิเศษคือมันมุ่งเป้าไปที่ข้อบกพร่องในแพตช์ความปลอดภัยของ Microsoft เอง หมายความว่าแม้แต่องค์กรที่ขยันขันแข็งในการใช้อัปเดตก็ยังคงมีช่องโหว่
กลุ่มแฮกเกอร์จีนที่ถูกระบุตัวตน
- Linen Typhoon - กลุ่มที่ได้รับการสนับสนุนจากรัฐ
- Violet Typhoon - กลุ่มที่ได้รับการสนับสนุนจากรัฐ
- Storm-2603 - กลุ่มที่ได้รับการสนับสนุนจากรัฐ
กลุ่มเหล่านี้ใช้ประโยชน์จากช่องโหว่ของ SharePoint เพื่อขโมยข้อมูลประจำตัวและรักษาการเข้าถึงระบบราชการในระยะยาว
หน่วยงานความปลอดภัยนิวเคลียร์อยู่ในหมู่เหยื่อระดับสูง
NNSA ซึ่งเป็นหน่วยงานกึ่งอิสระของ Department of Energy ที่รับผิดชอบในการออกแบบ บำรุงรักษา และรื้อถอนหัวรบนิวเคลียร์ ยืนยันว่าอยู่ในหมู่เหยื่อ อย่างไรก็ตาม Department of Energy เน้นย้ำว่าไม่มีข้อมูลลับหรือข้อมูลที่ละเอียดอ่อนถูกบุกรุกเนื่องจากหน่วยงานใช้แพลตฟอร์ม M365 บนคลาวด์ของ Microsoft อย่างแพร่หลายและมีระบบความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง นี่เป็นการละเมิดครั้งใหญ่ครั้งที่สองที่ส่งผลกระทบต่อ NNSA ในปีที่ผ่านมา หลังจากการโจมตี SolarWinds ในปี 2020 ที่เกี่ยวข้องกับนักแสดงระดับประเทศเช่นกัน
ผลกระทบระดับโลกครอบคลุมภาครัฐบาลและการศึกษา
การโจมตีครั้งนี้มีขอบเขตที่กว้างไกลเกินกว่าสิ่งอำนวยความสะดวกนิวเคลียร์ของสหรัฐฯ เหยื่อรวมถึง US Department of Education , Florida Department of Revenue , Rhode Island General Assembly และรัฐบาลแห่งชาติต่างๆ ทั่วยุโรปและตะวันออกกลาง ลักษณะที่แพร่หลายของการละเมิดแสดงให้เห็นว่าผู้โจมตีมุ่งเป้าไปที่องค์กรที่ยังคงพึ่งพาการติดตั้ง SharePoint แบบเก่าที่เปิดเผยต่ออินเทอร์เน็ตอย่างเป็นระบบ
องค์กรที่ได้รับผลกระทบจากการละเมิดข้อมูล
- US National Nuclear Security Administration (NNSA)
- US Department of Education
- Florida Department of Revenue
- Rhode Island General Assembly
- รัฐบาลแห่งชาติหลายประเทศใน Europe
- รัฐบาลแห่งชาติหลายประเทศใน Middle East
- องค์กรอื่นๆ อีกหลายร้อยแห่งทั่วโลก
ซอฟต์แวร์เก่าสร้างจุดบอดด้านความปลอดภัย
ผู้เชี่ยวชาญด้านความปลอดภัยชี้ไปที่แนวโน้มที่อันตรายที่องค์กรต่างๆ ยังคงใช้งานเซิร์ฟเวอร์ SharePoint เก่าโดยไม่มีการบำรุงรักษาหรือการดูแลด้านความปลอดภัยที่เพียงพอ การติดตั้งแบบ on-premises เหล่านี้มักจะยังคงสามารถเข้าถึงได้ทางอินเทอร์เน็ตในขณะที่ได้รับความสนใจหรือการจัดสรรงบประมาณสำหรับการอัปเดตและการตรวจสอบเพียงเล็กน้อย Jake Williams รองประธานฝ่ายวิจัยและพัฒนาที่ Hunter Strategy เตือนว่าองค์กรที่เปิดเผยเซิร์ฟเวอร์ SharePoint ต่ออินเทอร์เน็ตต้องจัดสรรงบประมาณสำหรับการตอบสนองต่อเหตุการณ์เพราะการบุกรุกเป็นสิ่งที่หลีกเลี่ยงไม่ได้
แพตช์ที่มีข้อบกพร่องของ Microsoft ทำให้ปัญหาซับซ้อนขึ้น
ช่องโหว่นี้สืบย้อนไปถึงข้อบกพร่องของ SharePoint ที่ค้นพบในการแข่งขันแฮกกิ้ง Pwn2Own ใน Berlin ในเดือนพฤษภาคม 2024 แพตช์เริ่มต้นของ Microsoft ที่เผยแพร่ก่อนหน้านี้ในเดือนนั้นมีข้อบกพร่องด้านความปลอดภัยของตัวเอง ทำให้แม้แต่องค์กรที่ใส่ใจด้านความปลอดภัยก็ยังมีช่องโหว่ บริษัทได้เผยแพร่สิ่งที่เรียกว่าการป้องกันที่แข็งแกร่งกว่าเพื่อแก้ไขการแก้ไขที่มีข้อบกพร่อง แต่ไม่ใช่ก่อนที่ผู้โจมตีจะเริ่มการใช้ประโยชน์อย่างแพร่หลายแล้ว
ไทม์ไลน์สิ้นสุดอายุการใช้งานสร้างแรงกดดันต่อองค์กร
Microsoft ปัจจุบันสนับสนุน SharePoint Server เวอร์ชัน 2016 และ 2019 ด้วยการอัปเดตความปลอดภัย แต่ทั้งสองจะถึงจุดสิ้นสุดการสนับสนุนในวันที่ 14 กรกฎาคม 2026 SharePoint Server 2013 และเวอร์ชันก่อนหน้านี้ได้ถึงสถานะสิ้นสุดอายุการใช้งานแล้วและได้รับเพียงการอัปเดตความปลอดภัยที่สำคัญผ่านบริการ SharePoint Server Subscription Edition แบบเสียเงินของ Microsoft US Cybersecurity and Infrastructure Security Agency ได้แนะนำให้ตัดการเชื่อมต่อการติดตั้ง SharePoint Server ที่หันหน้าสู่สาธารณะซึ่งได้ถึงจุดสิ้นสุดอายุการใช้งาน โดยเฉพาะ SharePoint Server 2013 และเวอร์ชันก่อนหน้านี้
ไทม์ไลน์การสนับสนุน SharePoint Server
| เวอร์ชัน | สถานะปัจจุบัน | วันที่สิ้นสุดการสนับสนุน |
|---|---|---|
| SharePoint Server 2019 | ได้รับการสนับสนุน | 14 กรกฎาคม 2026 |
| SharePoint Server 2016 | ได้รับการสนับสนุน | 14 กรกฎาคม 2026 |
| SharePoint Server 2013 | สิ้นสุดอายุการใช้งาน | อัปเดตสำคัญเท่านั้นผ่านบริการแบบเสียค่าใช้จ่าย |
| เวอร์ชันก่อนหน้า | สิ้นสุดอายุการใช้งาน | อัปเดตสำคัญเท่านั้นผ่านบริการแบบเสียค่าใช้จ่าย |
ความท้าทายและต้นทุนของการย้ายไปยังคลาวด์
องค์กรต่างๆ เผชิญกับการตัดสินใจที่ยากลำบากระหว่างการรักษาระบบ on-premises ที่คุ้นเคยโดยไม่มีต้นทุนใบอนุญาตเพิ่มเติมกับการย้ายไปยังบริการคลาวด์แบบสมัครสมาชิกของ Microsoft หน่วยงานรัฐบาลและสถาบันหลายแห่งลงทุนใน SharePoint ในตอนแรกเป็นการทดแทนที่ปลอดภัยสำหรับเครื่องมือการแชร์ไฟล์ Windows แบบดั้งเดิม ทำให้การเปลี่ยนไปสู่ทางเลือกบนคลาวด์มีทั้งต้นทุนสูงและซับซ้อน Secure Future Initiative ของ Microsoft ยอมรับความท้าทายนี้ โดยบริษัทระบุถึงความมุ่งมั่นในการสนับสนุนองค์กรต่างๆ ตลอดสเปกตรัมเต็มของการยอมรับคลาวด์