ABŞ-ın texnologiya nəhəngi “Microsoft”, yayımladığı 19 iyul tarixli bloq yazısında şirkət daxilindəki SharePoint serverlərində iki kritik boşluğun Çin mənşəli hakerlər tərəfindən istismar edildiyini açıqlayıb. Bu boşluqlar aşağıdakılardır:

– Aldadıcı identifikasiya (spoofing) — sistemə saxta identifikasiya ilə giriş cəhdləri;

– Uzaqdan kod icrası (remote code execution) — hakerlərin sistemdə öz kodlarını işə salması imkanı.

Bu boşluqlar yalnız lokal “SharePoint” serverlərini əhatə edir və “Microsoft 365” “SharePoint Online” platformasına təsir etmir.

Hücumun texniki detalları

“Microsoft”un Təhlükəsizlik Mərkəzi hücumların “ToolPane” uç nöqtəsinə POST sorğuları göndərməklə başladığını müşahidə edib. Hücumun mərhələləri belədir:

– Kəşfiyyat və boşluq axtarışı;

– “Web shell” yerləşdirmə — “spinstall0.aspx” adlı fayl vasitəsilə;

– Açarlarının oğurlanması — sistemə daimi giriş üçün;

– Qalıcı nəzarət və məlumat sızması.

“Microsoft” bu hücumlara qarşı aşağıdakı tədbirləri tövsiyə edib:

– Təhlükəsizlik yeniləmələrinin dərhal tətbiqi;

– “Antimalware Scan Interface” (AMSI) funksiyasının tam rejimdə aktivləşdirilməsi;

– “ASP.NET” makina açarlarının dəyişdirilməsi;

– IIS serverinin yenidən başladılması;

– “Microsoft Defender for Endpoint” və ya ekvivalent həllərin istifadəsi.

Hücumun arxasında kimlər var?

“Microsoft” qeyd edir ki, bu aktorlar yamalanmamış sistemlərə hücumlarını davam etdirəcəklər və digər qrupların da bu boşluqlardan istifadə etməsi ehtimalı araşdırılır.

Qlobal təsir və hədəflər

Həftə sonu yayılan xəbərlərə görə, bu boşluqlardan istifadə edən hakerlər:

– ABŞ-da dövlət qurumlarını;

– Dünya üzrə özəl şirkətləri hədəf alıblar.

Bu hücumlar kritik infrastrukturun təhlükəsizliyini, məlumatların məxfiliyini və korporativ etibarı ciddi şəkildə təhdid edir.

Geosiyasi kontekst və strateji nəticələr

Bu hücumlar Çin və ABŞ arasında kiberməkanda artan gərginliyin bir nümunəsi kimi qiymətləndirilə bilər. Aşağıdakı nəticələr önə çıxır:

Kibercasusluq – dövlət dəstəyi ilə həyata keçirilən məlumat oğurluğu;

Texnologiya müharibəsi – korporativ sistemlər üzərindən strateji üstünlük əldə etmə cəhdi;

Etimad böhranı – “Microsoft” kimi qlobal şirkətlərin müştəri etibarını qoruma çətinliyi.

ABŞ-ın CISA (Kibertəhlükəsizlik və İnfrastruktur Təhlükəsizliyi Agentliyi) bu boşluqları kritik risk kimi qiymətləndirib və “Microsoft”un tədbirlərini dəstəkləyib.

“Microsoft”un cavab strategiyası

“Microsoft” bu hücumlara qarşı aşağıdakı sistemli və texniki tədbirləri həyata keçirib:

– Təhlükəsizlik yamaları yayımladı – dəstəklənən bütün SharePoint versiyaları üçün xüsusi yeniləmələr;

– Texniki tövsiyələr təqdim etdi:- ASP.NET makina açarlarının yenilənməsi;

– Antimalware Scan Interface (AMSI) funksiyasının tam gücdə aktivləşdirilməsi;

– IIS serverlərinin yenidən başlatılması;

– “Microsoft Defender for Endpoint” və ya ekvivalent həllərin quraşdırılması;

– Hücum aktorlarının davranışlarını müşahidə edir – xüsusilə Çin mənşəli qrupların aktivliyini izləmək üçün telemetriya və threat intel alətlərindən istifadə edir;

– Administratorlara xəbərdarlıq yayımlayıb – sistemləri yamalamayan müəssisələr ciddi risk altındadır.

Bütün bu tədbirlər “Microsoft”un korporativ etibarı qorumaq, qlobal istifadəçiləri məlumatlandırmaq və təhlükəni minimallaşdırmaq məqsədini daşıyır.

“Microsoft”un cavab strategiyası

“Microsoft”un hücumlara qarşı addımları bir neçə əsas istiqamətdə cəmlənir:

– Təhlükəsizlik yeniləmələri: Şirkət bütün dəstəklənən SharePoint server versiyaları üçün kritik təhlükəsizlik yamaları yayımlayıb. Bu yamalar “spoofing” və “remote code execution” boşluqlarını aradan qaldırmaq üçün nəzərdə tutulub.

– Texniki tövsiyələr: “ASP.NET” makina açarlarının dərhal dəyişdirilməsi;

– IIS serverlərinin yenidən başladılması;

– “Microsoft Defender for Endpoint” və digər təhlükəsizlik sistemlərinin aktivləşdirilməsi;

– “Antimalware Scan Interface” (AMSI) funksiyasının tam güc ilə işləməsinin təmin edilməsi.

– Hücumların izlənməsi: “Microsoft” hücum aktorlarının davranışlarını real zamanlı təhlil edir, xüsusilə Çin mənşəli qrupların aktivliyini təqib edir və yeni nümunələri təhlil edərək əlavə tədbirləri planlaşdırır.

– Administratorlara çağırış: Şirkət xəbərdarlıq edib ki, yamalanmamış lokal SharePoint serverləri haker hücumlarına qarşı həssasdır və bu boşluqlardan istifadə uzunmüddətli sistem nəzarəti ilə nəticələnə bilər.

Bu tədbirlər, “Microsoft”un qlobal miqyasda kibertəhlükəsizliyi təmin etmə strategiyasının bir hissəsi olaraq, həm texniki təbəqəni qoruyur, həm də etibarlı mühit yaratmağa yönəlir.