פריצה גלובלית מתוחכמת: האקרים פרצו לעשרות אלפי שרתי מיקרוסופט ברחבי העולם

מתקפה מקיפה פוגעת בסוכנויות פדרליות אמריקאיות, אוניברסיטאות וחברות אנרגיה - מיקרוסופט עדיין לא הוציאה תיקון מלא

07.23.2025 13:00

סוכנויות הידיעות

פריצה קיברנטית נרחבת ומתוחכמת פגעה בעשרות אלפי שרתי SharePoint של מיקרוסופט ברחבי העולם בימים האחרונים, כאשר האקרים לא מזוהים הצליחו לפרוץ לסוכנויות ממשלתיות פדרליות ומדינתיות בארצות הברית, אוניברסיטאות, חברות אנרגיה וחברת טלקומוניקציה אסיאתית. הפריצה, שמכונה מתקפת "יום אפס", מנצלת פגיעות בטיחותית משמעותית ולא ידועה קודם לכן בתוכנת SharePoint של מיקרוסופט.

שלח

הרשמה לקבלת הניוזלטר היומי ועדכונים חשובים

Phone

By submitting this form and signing up for texts, you consent to receive news notification text messages from HebrewNews.com at the number provided, including messages sent by autodialer. Consent is not a condition of purchase. Msg & data rates may apply. Msg frequency varies. Unsubscribe at any time by replying STOP. Text HELP for help. Privacy Policy & Terms Of Use

הממשלות של ארצות הברית, קנדה ואוסטרליה חוקרות את הפריצה של שרתי SharePoint, הפלטפורמה הנפוצה לשיתוף וניהול מסמכים בארגונים. מומחי אבטחה מעריכים כי עשרות אלפי שרתים נמצאים בסיכון, ומיקרוסופט עדיין לא הוציאה תיקון מלא לפגם, מה שמותיר קורבנות ברחבי העולם במאבק נואש להגיב למתקפה.

מתקפת "יום אפס" זו היא הכישלון הקיברנטי האחרון עבור מיקרוסופט. בשנה שעברה, החברה זכתה לביקורת חריפה מצד פאנל של מומחי ממשלה ותעשייה אמריקאיים על ליקויים שאפשרו פריצה סינית ממוקדת ב-2023 לאימיילים ממשלתיים אמריקאיים, כולל אלה של מזכירת המסחר דאז, ג'ינה ריימונדו.

המתקפה הנוכחית פוגעת רק בשרתים המתארחים בתוך הארגון עצמו ולא באלה בענן, כמו Microsoft 365, כך מסרו גורמים רשמיים. לאחר שבתחילה המליצה למשתמשים לבצע שינויים או פשוט לנתק את תוכניות שרת SharePoint מהאינטרנט, החברה הוציאה ביום ראשון בערב תיקון לגרסה אחת של התוכנה. שתי גרסאות אחרות נותרו פגיעות ומיקרוסופט מסרה כי היא ממשיכה לעבוד על פיתוח תיקון. החברה סירבה להגיב בנוסף.

"כל מי שיש לו שרת SharePoint יש לו בעיה", אמר אדם מאיירס, סגן נשיא בכיר בחברת CrowdStrike לאבטחה קיברנטית. "זו פגיעות משמעותית."

ה-FBI מסר בהצהרה כי הוא מודע לעניין. "אנו עובדים בשיתוף הדוק עם שותפינו בממשלה הפדרלית ובמגזר הפרטי", נמסר.

"אנו רואים ניסיונות לנצל אלפי שרתי SharePoint ברחבי העולם לפני שתיקון זמין", אמר פיט רנלס, מנהל בכיר ב-Unit 42 של Palo Alto Networks. "זיהינו עשרות ארגונים שנפרצו הכוללים מגזרים מסחריים וממשלתיים."

עם גישה לשרתים אלה, שלעתים קרובות מתחברים ל-Outlook, Teams ושירותי ליבה אחרים, פריצה יכולה להוביל לגניבת נתונים רגישים כמו גם לגילוי סיסמאות, כך ציינה חברת המחקר ההולנדית Eye Security. מה שמדאיג גם כן, אמרו החוקרים, הוא שההאקרים השיגו גישה למפתחות שעשויים לאפשר להם להיכנס מחדש גם לאחר שמערכת תתוקן.

"אז הוצאת תיקון ביום שני או שלישי לא עוזרת לאף אחד שנפרץ ב-72 השעות האחרונות", אמר חוקר אחד, שדיבר בתנאי אנונימיות כיוון שחקירה פדרלית מתנהלת.

לא ברור מיידית מי עומד מאחורי הפריצה הגלובלית או מה המטרה הסופית שלה. חברת מחקר פרטית אחת גילתה שההאקרים מכוונים לשרתים בסין כמו גם לבית מחוקקים מדינתי במזרח ארצות הברית. Eye Security מסרה כי עקבה אחר יותר מ-50 פריצות, כולל בחברת אנרגיה במדינה גדולה ובכמה סוכנויות ממשלתיות אירופיות.

לפחות שתי סוכנויות פדרליות אמריקאיות ראו את השרתים שלהן נפרצים, על פי חוקרים, שאמרו כי הסכמי סודיות עם הקורבנות מונעים מהם לגלות את המטרות.

גורם מדינתי אחד במזרח ארצות הברית אמר שהתוקפים "חטפו" מאגר מסמכים שסופק לציבור כדי לעזור לתושבים להבין כיצד הממשלה שלהם פועלת. הסוכנות המעורבת כבר לא יכולה לגשת לחומר, אך לא היה ברור אם הוא נמחק.

"נצטרך להפוך את המסמכים האלה לזמינים שוב במאגר אחר", אמר הגורם, שדיבר בתנאי אנונימיות כדי לדון במצב שמתפתח.

מתקפות "מחיקה" כאלה נדירות, וזו השאירה גורמים רשמיים במצב חרדה במדינות אחרות כשנדע על כך. כמה חברות אבטחה אמרו שלא ראו מחיקות במתקפות SharePoint, רק גניבת מפתחות קריפטוגרפיים שיאפשרו להאקרים להיכנס מחדש לשרתים.

באריזונה, גורמי אבטחה קיברנטית התכנסו עם גורמים מדינתיים, מקומיים ושבטיים כדי להעריך פגיעויות פוטנציאליות ולשתף מידע.

"בהחלט יש מרוץ מטורף ברחבי המדינה כרגע", אמר אדם המכיר את תגובת המדינה.

הפריצות התרחשו לאחר שמיקרוסופט תיקנה פגם בטיחותי החודש. התוקפים הבינו שהם יכולים להשתמש בפגיעות דומה, על פי הסוכנות לאבטחה קיברנטית ואבטחת תשתיות של מינהל ביטחון המולדת.

דוברת CISA מרסי מקארתי אמרה שהסוכנות קיבלה התראה על הנושא ביום שישי מחברת מחקר קיברנטי ויצרה קשר מיידי עם מיקרוסופט.

מיקרוסופט זכתה לביקורת בעבר על הוצאת תיקונים מעוצבים בצורה צרה מדי ומשאירים נתיבי תקיפה דומים פתוחים. החברה, אחת מספקיות הטכנולוגיה הגדולות לממשלות, חוותה מעידות רבות אחרות בשנתיים האחרונות, כולל פריצות לרשתות החברה שלה ולאימיילים של בכירים. פגם תכנותי בשירותי הענן שלה גם אפשר להאקרים נתמכי סין לגנוב אימיילים מגורמים פדרליים.

ביום שישי, מיקרוסופט הודיעה כי תפסיק להשתמש במהנדסים סיניים לתמיכה בתוכניות מחשוב ענן של משרד ההגנה לאחר דו"ח של פרופבליקה שחשף את הנוהג, מה שגרם למזכיר ההגנה פיט הגסת' להורות על סקירה של עסקאות ענן של הפנטגון.