Chinese actoren misbruiken lek in Microsoft SharePoint

Hoewel Microsoft al een patch heeft uitgegeven die het lek in Sharepoint (gedeeltelijk) dicht, blijkt uit onderzoek dat de aanvallen werden uitgevoerd door groepen met banden met de Chinese overheid.

Volgens onderzoekers van onder andere Google’s Mandiant Consulting maakten servers van getroffen van internationale organisaties recent verbinding met IP-adressen in China. Dit zou wijzen op betrokkenheid van Chinese actoren. 

Alleen SharePoint-installaties die door klanten zelf worden gehost, bleken kwetsbaar; de cloudversies zijn niet getroffen. Microsoft heeft inmiddels aanvullende patches uitgebracht die het lek volledig moeten dichten. Toch waarschuwt Microsoft dat bedrijven niet alleen de patches moeten installeren, maar ook digitale sleutels moeten vervangen, anti-malware moeten toepassen en bestaande inbraken moeten opsporen.

De beveiligingsexperts die WSJ sprak, benadrukken dat inmiddels meerdere hackersgroepen misbruik maken van het lek, waaronder ransomware-bendes en spionagegroepen. Ze herkennen de gebruikte aanvalsmethoden, omdat ze lijken op eerdere incidenten waarbij Chinese hackers snel nieuwe kwetsbaarheden uitbuiten. Iets wat onder andere het geval was bij Citrix NetScaler en de grootschalige aanval op Microsoft Exchange in 2021.

De groep Silk Typhoon, gelinkt aan het Chinese ministerie van Staatsveiligheid, wordt gezien als een van de meest geavanceerde dreigingen en heeft de afgelopen jaren meerdere keren gevoelige Amerikaanse en Europese doelwitten getroffen.