"Száznál több szervezet kompromittálódott a SharePoint sérülékenységein keresztül"

Microsoft, Windows

Világszerte sikerült SharePoint-incidenseket detektálni, az áldozatul esett szervezetek száma száz fölött jár.

Már több mint 100 különböző kompromittált szervezetet sikerült azonosítani egy kibertámadási hullámban, melyben az elkövetők a Microsoft SharePoint szerveralkalmazását érintő két súlyos biztonsági hibát használták ki. A Microsoft szombaton adott ki figyelmeztetést a biztonsági hibákról, melyeknek jelenléte főleg azért aggasztó, mert a szolgáltatás meghatározó szerepet tölt be az intézményi dokumentumkezelésben és kollaborációs folyamatokban.

A redmondi szoftveróriás a napokban kiadta a sürgősségi javításokat is: a „ToolShell” néven említett, illetve CVE-2025-53770 és CVE-2025-53771 azonosítók alatt követett biztonsági réseket a KB5002768 és KB5002754 jelölésű patchek foltozzák be. A hibák csak a helyszíni, azaz on-premise SharePoint-kiszolgálókat érintik, a Microsoft 365-ben található SharePoint Online-t nem.

[...]

Részletek itt.

( trey | 2025. 07. 22., k – 13:40 )

Még egy fosh, amit ha 10x ennyit fizetnének, akkor se akarnék on-premise göngyűgetni. 

trey @ gépház

Nem mindegy? Production. Néhány éve a csoportunkban az egyik informatikai vezető on premise megoldást akart, mert úgy ítélte meg, hogy az internetes kapcsolaton érkező (egyébként elengedhetetlen) információ túl magas kockázatot okoz a gyártósoron. Én valahogy úgy képzelem, hogy egy on premise sharepoint nevű marhaságnak is valami efféle oka lehet, de nem tudom, csak gondolom.

Nem mindegy?

Nem mindegy, mert hogy a Sharepoint valami core rendszer 100% uptime igénnyel (van ilyen), vagy egy huszadrangú collab space, ami ha megáll, akkor gyakorlatilag nem történik semmi (van ilyen is).

A "milyen gyártás?" kérdésben a milyen volt a hangsúly, nem a gyártás.

Jah, csak amikor beárazzuk az ügyfélnek a 100% SLA-t, akkor kiderül, hogy mégsem annyira fontos. Itt most megint az van mint az EXO leállós threadben pár napja, hogy a filléres konzervmegoldást hasonlítgatjuk a specializált workloadokkal.

Mivel ott sem volt hajlandó senki belemenni ilyen gondolatkísérletekbe, ezért megkértem az AI-t, hogy készítsen elő egy TCO számítást. Hasraütésre ~40 dollárra jön ki per fő per hó, 5 éves ciklusokkal számolva, ha az a cél, hogy a SP Online SLA-jával összehasonlítható legyen. Ez ugye 8x annyi, mint a SPO. (szerk: és szerintem masszívan alábecsülte -- hol találsz például SP admint évente bruttó <9 milliós bérköltséggel?) Ha nagyobb rendelkezésre állás kell, akkor nyilván többe kerül.

Fact check nem volt. Ha találsz valami hibát, azt szívesen átadom a Groknak, hogy azzal számolja újra.

Én is "érzetről" írtam fenn. Az általam szóba hozott esetben produkált "on-premise" megoldás szerintem kifejezetten rosszabb megbízhatóságú lett, mint az internet alapú. De hiányzott a szaktudás ennek számszerűsítésére és szerencsére nem tartozott hozzám a terület.

Mindenesetre nálunk a nextCloud a felhőben megbízhatóbb, sokoldalúbb, könnyebben üzemeltethető megoldásnak tűnt, mint bármiféle Microsoft termék, ezért azt választottuk, Sharepoint helyett. Jól választottunk.

És a Nextcloud közvetlen összeköttetésben van a gyártással? Illetve ha a felhőben van (ugyanúgy, mint a SharePoint), akkor mégis hogyan lehet, hogy könnyebben üzemeltethető? A felhő egyik lényege az üzemeltetés áthárítása másra.

Igen, a nextCloud nálunk termelésbe került vagy 5 évvel ezelőtt, bár nem olyan érzékeny területre, mint az általam szóba hozott példa esetében. Kb egy tucat ponton mért dokumentáció kerül a felhőbe, képek és adatok, amiket sok helyről kell interneten elérni. A kiesése mondjuk súlyos esemény lenne, de a termelés nem állna le miatta. Egyszer sem volt probléma vele. A szerverét (pontosabban a virtuális gépet) a felhőben tartjuk bérelt gépen és nyilván maga a nextCloud többfunkciós, másra is használjuk. Nyilván nem a hardvert kell nekünk üzemeltetni, hanem magát a nextCloudot.

A könnyebb üzemeltetést úgy értem, hogy nálunk nincsenek Microsoft termékek és innen nézve bármilyen Windows ökoszisztémára épülő cucc üzemeltetése bonyolult lenne nekünk.

Mindossze 100 fore ez a kapacitas nem kicsit overkill. Konkretan egyetlen szerver is elég lenne fele annyi szamitasi teljesitmennyel, de legyen ketto a redundancia miatt. Illetve azt a két honapos telepitesi idot szívesen kiszamlaznam miközben max egy hét is elég lenne a netto munkát elvegezni. Viszont egy reverse proxy nem ártana ha valami oknal fogva ki kellene tenni az internetre. 

Nekem csak felhasználóként volt vele dolgom, de már úgy is egy rakás fosch, képzelem adminisztrálni milyen lehet. Ami még nem lenne baj, de minden cég rá van kattanva, mintha az örök élet titka lenne, és nem lehetne kihagyni. Emiatt lesz az, hogy sharing a common point of vulnerability.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Nem az. Gyakorlatilag nincs a piacon olyan enterprise kornyezetben hasznalhato csoportmunka platform ami meg csak egyenrangu is vele. A confluence-es takolmanyos szarokat ami gyakorlatilag egy wikipedia platform mindenfele szarcsi pluginnal ellatva jo sok penzert azt nem mernem meg a listaba sem felvenni...

( cstamas | 2025. 07. 22., k – 17:54 )

Az URL zseniális "sharepoint-onpremise-blowjob" :).

( laysoft v | 2025. 07. 22., k – 18:18 )

Szánalom.

A tudomány és a hit vitája akkor eldőlt, amikor villámhárítót szereltek a templomokra.

( st3v3 v | 2025. 07. 23., sze – 22:44 )

US nuclear weapons agency hacked in Microsoft SharePoint attacks

Unknown threat actors have breached the National Nuclear Security Administration's network in attacks exploiting a recently patched Microsoft SharePoint zero-day vulnerability chain.

NNSA is a semi-autonomous U.S. government agency part of the Energy Department that maintains the country's nuclear weapons stockpile and is also tasked with responding to nuclear and radiological emergencies within the United States and abroad.

A Department of Energy spokesperson confirmed in a statement that hackers gained access to NNSA networks last week.

"On Friday, July 18th, the exploitation of a Microsoft SharePoint zero-day vulnerability began affecting the Department of Energy, including the NNSA," Department of Energy Press Secretary Ben Dietderich told BleepingComputer. "The Department was minimally impacted due to its widespread use of the Microsoft M365 cloud and very capable cybersecurity systems."

Dietderich added that only "a very small number of systems were impacted" and that "all impacted systems are being restored."

As first reported by Bloomberg, sources within the agency also noted that there's no evidence of sensitive or classified information compromised in the breach.

The APT29 Russian state-sponsored threat group, the hacking division of the Russian Foreign Intelligence Service (SVR), also breached the U.S. nuclear weapons agency in 2019 using a trojanized SolarWinds Orion update.
Attacks linked to Chinese state hackers, over 400 servers breached

On Tuesday, Microsoft and Google linked the widespread attacks targeting a Microsoft SharePoint zero-day vulnerability chain (known as ToolShell) to Chinese state-sponsored hacking groups.

"Microsoft has observed two named Chinese nation-state actors, Linen Typhoon and Violet Typhoon exploiting these vulnerabilities targeting internet-facing SharePoint servers," Microsoft said.

"In addition, we have observed another China-based threat actor, tracked as Storm-2603, exploiting these vulnerabilities. Investigations into other actors also using these exploits are still ongoing."

Dutch cybersecurity firm Eye Security first detected the zero-day attacks on Friday, stating that at least 54 organizations had already been compromised, including national government entities and multinational companies.

Cybersecurity firm Check Point later revealed that it had spotted signs of exploitation going back to July 7th targeting dozens of government, telecommunications, and technology organizations in North America and Western Europe.

Since then, Eye Security CTO Piet Kerkhofs told BleepingComputer that the number of compromised entities, "most of them already compromised for some time already," is much larger. According to the cybersecurity company's statistics, the threat actors behind these attacks have already infected at least 400 servers with malware and breached 148 organizations worldwide.

CISA also added the CVE-2025-53770 remote code execution flaw, part of the ToolShell exploit chain, to its catalog of exploited vulnerabilities, ordering U.S. federal agencies to secure their systems within a day.

Update July 23, 12:18 EDT: Added Energy Department statement.

https://www.bleepingcomputer.com/news/security/us-nuclear-weapons-agenc…