Disa studiues kishin zbuluar se sulmet kundër serverëve SharePoint u kryen nga kriminelë kibernetikë kinezë. Tani, Microsoft e ka konfirmuar zyrtarisht këtë. Deri më tani janë identifikuar tre grupe: Linen Typhoon, Violet Typhoon dhe Storm-2603. Kompania Redmond ka përshkruar dobësitë në detaje dhe ka ofruar udhëzime për zbatimin e masave mbrojtëse.
Shfrytëzimet Kineze në Qarkullim
Microsoft ka publikuar patch-e sigurie për SharePoint Server 2019, SharePoint Server 2016 dhe SharePoint Server Subscription Edition që adresojnë dobësitë zero-day CVE-2025-53770 dhe CVE-2025-53771 që lidhen me dobësitë e mëparshme CVE-2025-49706 dhe CVE-2025-49704. Vetëm serverët lokalë (të menaxhuar lokalisht nga kompanitë) preken, jo SharePoint Online në Microsoft 365.
Shfrytëzimet në qarkullim lejojnë qasje në servera nëpërmjet një kërkese POST në pikën fundore ToolPane. Kriminelët kibernetikë kështu anashkalojnë mekanizmin e vërtetimit dhe mund të ekzekutojnë kod në distancë. Në mënyrë specifike, ata ngarkuan skriptin spinstall0.aspx në servera, i cili përmban komandat për të nxjerrë të dhënat e MachineKey, duke përfshirë çelësat kriptografikë të përdorur për ndërhyrje pa kredencialet e hyrjes.
Që nga 7 korriku, Microsoft ka zbuluar sulme nga të paktën tre grupe kriminale kibernetike: Linen Typhoon, Violet Typhoon dhe Storm-2603. Të gjitha janë “sponsorizuar” nga qeveria kineze dhe zakonisht kryejnë sulme të spiunazhit kibernetik dhe vjedhjes së pronës intelektuale.
Kompanitë duhet të instalojnë patch-e sa më shpejt të jetë e mundur. Microsoft gjithashtu rekomandon aktivizimin e Ndërfaqes së Skanimit Antimalware (AMSI) dhe Microsoft Defender Antivirus (ose zgjidhje ekuivalente). Së fundmi, të gjithë çelësat kriptografikë duhet të ndryshohen (duke ndjekur udhëzimet në postim) dhe Shërbimet e Informacionit në Internet (IIS) të rifillojnë në të gjithë serverët e SharePoint.
Përditësimi (23/07/2025): Kriminelët kibernetikë kinezë goditën gjithashtu Administratën Kombëtare të Sigurisë Bërthamore, por nuk u vodhën të dhëna të ndjeshme sepse agjencia përdor kryesisht versionin cloud në Microsoft 365.
Discussion about this post