Lipcowa aktualizacja bezpieczeństwa Microsoftu miała zamknąć poważną lukę w oprogramowaniu SharePoint, wykrytą na prestiżowym konkursie hakerskim Pwn2Own w Berlinie. Jednak – jak się okazało – wydana poprawka nie rozwiązała problemu w pełni. W efekcie dziesiątki organizacji na świecie zostały narażone na zdalne ataki, a fala cyberszpiegostwa zatacza coraz szersze kręgi.

Luka o nazwie „ToolShell” została zgłoszona przez badacza z wietnamskiej grupy Viettel, co przyniosło mu 100 tys. dolarów nagrody. Od tego momentu czas zaczął działać na niekorzyść administratorów: choć Microsoft zareagował, jego pierwsza łatka została skutecznie ominięta przez cyberprzestępców w ciągu kilku dni. Nowa wersja łaty została wydana, ale według ekspertów z Sophos, zagrożenie pozostaje aktywne.

Za pierwszą falą ataków miały stać trzy chińskie grupy APT, w tym znane z wcześniejszych kampanii cyberszpiegowskich „Fioletowy Tajfun” i „Lniany Typhoon”. Zastosowane exploity umożliwiały przejęcie kontroli nad serwerami SharePoint bez wiedzy administratorów. Ataki objęły m.in. amerykańską Krajową Administrację Bezpieczeństwa Jądrowego, co wywołało zaniepokojenie na poziomie rządowym – choć, według źródeł cytowanych przez Bloomberg, nie doszło do wycieku informacji niejawnych.

Z danych z wyszukiwarki Shodan i Fundacji Shadowserver wynika, że podatnych na atak może być ponad 9 tys. serwerów, z czego większość znajduje się w USA i Niemczech. Potencjalne cele obejmują instytucje publiczne, banki, firmy przemysłowe, a także sektor ochrony zdrowia.

Cała sytuacja ponownie stawia pod znakiem zapytania skuteczność procesu łat patchowania w środowiskach korporacyjnych. Microsoft zapowiada kontynuację działań naprawczych, ale incydent pokazuje, jak niewielkie okno czasowe dzieli badaczy od cyberprzestępców i jak kosztowna może być luka w oprogramowaniu powszechnie używanym przez sektor publiczny i prywatny.