Un grave défaut de sécurité a été découvert dans la plateforme SharePoint de Microsoft, outil largement utilisé par les entreprises du monde entier pour stocker et partager des documents confidentiels. Selon des estimations de Censys, plus de 10 000 organisations seraient exposées, principalement aux États-Unis, mais aussi aux Pays-Bas, au Royaume-Uni et au Canada.
Des attaques en cours
Microsoft a confirmé que des attaques actives visaient les serveurs SharePoint installés sur site, y compris ceux de certaines agences fédérales et locales américaines. La vulnérabilité découverte offre une opportunité rêvée pour les pirates, notamment pour les opérateurs de ransomware d'après Bloomberg. Selon Silas Cutler, c’est un scénario idéal pour les opérateurs de ransomware, et de nombreux attaquants vont travailler tout le week-end pour exploiter cette faille.
Le risque est jugé sérieux et significatif par les équipes de Palo Alto Networks et Google Threat Intelligence Group. La société néerlandaise Eye Security, qui a été la première à identifier le problème, se veut plus alarmiste. Pour elle, même si Microsoft a publié un correctif pour SharePoint Subscription Edition et prépare des correctifs pour SharePoint 2016 et 2019, la faille permettrait aux pirates de voler des clés d’authentification avant que les correctifs ne soient appliqués.
Que faire pour se protéger ?
En d’autres termes, des attaquants pourraient conserver un accès persistant aux systèmes compromis, même après la mise à jour des serveurs, en installant des portes dérobées ou des composants modifiés capables de survivre aux correctifs et aux redémarrages.
Microsoft recommande déjà plusieurs mesures de précaution pour les organisations touchées comme appliquer sans délai les correctifs disponibles ou encore limiter l’exposition des serveurs SharePoint directement accessibles depuis Internet. Ou encore surveiller les journaux d’activité pour détecter toute activité inhabituelle ou suspecte.
Cependant, compte tenu des incertitudes actuelles, les experts en cybersécurité conseillent fortement de retirer temporairement les documents les plus sensibles stockés sur SharePoint afin de limiter les risques en attendant d’y voir plus clair.
