מאז סוף השבוע, אחת ממערכות ניהול המסמכים הנפוצות ביותר בעולם: SharePoint Server של מיקרוסופט Microsoft Corp 0.09% , נמצאת בלב סערת סייבר חדשה. מתקפת מתקפת אפס ימים (Day Zero היא מתקפת סייבר המנצלת פרצת אבטחה לא מוכרת לפני שפורסם תיקון עבורה) שהחלה להתפשט בשטח פוגעת באלפי שרתים ברחבי העולם, בעיקר בארגונים ציבוריים, ממשלתיים ועסקיים בארה"ב, קנדה, בריטניה, הולנד ואסיה. מדובר בפרצת אבטחה קריטית שזוהתה לראשונה רק לאחר שנוצלה בפועל, מה שמעיד על היעדר התרעה מוקדמת מצד מיקרוסופט או קהילת הסייבר הבינלאומית.

הפגיעות מאפשרת לתוקף מורשה לבצע "ספופינג" (Spoofing),  כלומר להתחזות לגורם אמין בתוך הרשת, ולהשיג גישה למשאבים רגישים תוך עקיפת הגנות פנימיות. מיקרוסופט זיהתה את הפגיעות ופרסמה עדכוני אבטחה לגרסאות SharePoint 2016 ו-2019. בגרסאות אחרות, טרם הוצא עדכון מגן. החברה ממליצה לנתק שרתים מהאינטרנט אם לא ניתן להחיל את העדכון באופן מיידי. מדובר בצעד נדיר שמעיד על רמת הסיכון הגבוהה במיוחד.

על פי הערכות של חברות אבטחה כמו Censys ו-Palo Alto Networks, עשרות אלפי שרתים עלולים להיות פגיעים, מתוכם אלפים ככל הנראה כבר נפרצו. חוקרים בחברת גוגל אישרו כי הם מזהים פעילות תוקפנית בזמן אמת, תוך שימוש בפרצה לשם גישה לא מאומתת מתמשכת למערכות פנימיות.

בין הנפגעים נמנים גופים ממשלתיים בארה"ב, מוסדות אקדמיים, חברות אנרגיה וספקיות תקשורת, והחשש המרכזי הוא שהיקף החדירה והנזק טרם התבררו במלואם, אבל ככל הנראה נחשפו מערכות קבצים פנימיות ונפרצו רכיבי תשתית רגישים. המתקפה אפשרה לתוקפים לגשת ללא הרשאה למסמכים, לשנות הגדרות מערכת, להפעיל קוד זדוני מרחוק ולגנוב מפתחות הצפנה. כתוצאה מכך, הם יכלו להתחזות למשתמשים ושירותים לגיטימיים גם לאחר התקנת עדכוני האבטחה. במקרים מסוימים אף הותקנו דלתות אחוריות שמאפשרות נוכחות ממושכת ברשתות. 

• הגיימינג במיקרוסופט בנו כלי AI ואז הוחלפו על ידי הכלי שבנתה
• בעקבות מתקפת סייבר אקטיוויז'ן נאלצה להסיר את Call of Duty: WWII מהחנות של מיקרוסופט
• המלצת המערכת: כל הכותרות 24/7

החשש המרכזי הוא שכיוון שמדובר בגישה פנימית, ההתקפות עלולות להיות קשות לזיהוי, ומזיקות במיוחד מבחינה תפעולית וביטחונית. בנוסף, עצם קיומה של פרצה כזו בשרתים מקומיים, שאינם מתעדכנים אוטומטית כמו שירותי ענן, הופך את הטיפול במתקפה לאיטי יותר, ואת פוטנציאל הנזק לגדול יותר. 

שיתוף פעולה עולמי וניסיונות בלימה

ה-FBI אישר כי הוא מעורב בחקירה, ופועל בתיאום עם סוכנויות כמו CISA, משרד ההגנה האמריקני, וכן עם גורמים בתחום האבטחה מקנדה, בריטניה, הולנד ואוסטרליה. מיקרוסופט מציינת כי היא עובדת "בצמוד לשותפים בינלאומיים" כדי לבלום את המתקפה ולחקור את מקורותיה. דיווחים שונים מעלים כי גם מוסדות להשכלה גבוהה, חברות תשתית, גופים פדרליים וספקיות תקשורת נכללו ברשימת היעדים של התוקפים. על פי הדיווחים, נראה שמדובר בפעולה מתואמת היטב,  אולי מטעם מדינה או קבוצה מתקדמת במיוחד. בשלב זה, ניתן רק לשער לגבי זהות התוקפים, עם החשודים המיידים שעולים לראש. המומחים מעריכים כי הפוטנציאל לפגיעות ארוכת טווח קיים גם לאחר התקנת העדכון, אם אכן נגנבו מפתחות קריפטוגרפיים או נפרצו מערכות צד שלישי המשולבות ברשתות הארגוניות.

המקרה הנוכחי מצטרף לרצף תקלות אבטחה בשירותי מיקרוסופט. במרץ האחרון דווח על מתקפות ריגול סיניות שניצלו חולשות בניהול מרחוק של תשתיות מיקרוסופט בענן, וב-2023 פרצת Exchange Online עוררה ביקורת נוקבת מצד הוועדה האמריקנית לביקורת סייבר, שהגדירה את תרבות האבטחה של החברה כ-"בלתי מספקת". 

• קורוויב מגייסת 1.5 מיליארד דולר באג"ח; המניה קופצת
• סנטינל-וואן וסולאראדג׳ מזנקות ב-9%, אודיוקודס עם 7%; הנאסד״ק עולה ב-0.8%
• תוכן שיווקי "הקרנות הפאסיביות מהוות 60% מהענף"
• מזנקת ב-23% ומשלימה קפיצה של פי 3 בשנה - חברת הכרייה שיש לה...

האירוע חושף פעם נוספת את המתח בין מערכות מקומיות, הנתונות לשליטת הארגון אך דורשות תחזוקה שוטפת, לבין פתרונות ענן מנוהלים, בהם מיקרוסופט מחילה עדכונים באופן יזום ולרוב מהיר יותר. יש בכך השלכות רחבות על אסטרטגיות אבטחת המידע בארגונים, ומרמז על אפשרות של שינוי מגמה נוסף לטובת מעבר מואץ לפלטפורמות ענן בטוחות יותר. למשל, אוניברסיטה שמשתמשת ב‑SharePoint Online כחלק מחבילת Microsoft 365 נהנית מעדכוני אבטחה יזומים מצד מיקרוסופט, לעיתים עוד לפני שנוצרת פרצה משמעותית. לעומתה, ארגון ביטחוני המשתמש בגרסת SharePoint מקומית מתוך צורך בשליטה מלאה ורגולציה, נדרש להטמיע את העדכונים בעצמו, וזה כבר דורש שדורשת מומחיות, תזמון, ולעיתים כרוכה גם בהשבתת מערכת. 

ההשלכה על סקטור הסייבר 

באופן כללי, כל זינוק במתקפות אפס-יום שמכוונות לתשתיות ליבה מייצר גל שני של השקעות והטמעות אבטחה, וסקטור הסייבר עשוי  להרוויח מהגברת הביקוש לפתרונות ניטור, זיהוי והגנה: פאלו אלטו נטוורקס Palo Alto Networks  הייתה מהראשונות שהתריעו על חומרת המתקפה, ומוצרים כמו Cortex ו‑Prisma עשויים לקבל תאוצה בקרב ארגונים שמבקשים לשפר את זמני התגובה והניטור שלהם. 

אדם מאיירס, סגן נשיא בכיר בחברת הסייבר קראודסטרייק CrowdStrike 1.19%  , שרק אתמול נחגג יום השנה למתקפת הסייבר הגדולה שעברה, אמר בסיקור של הוושינגטון פוסט כי  "כל מי שמפעיל שרת SharePoint מקומי מתמודד עם בעיה". קראודסטרייק מתמקדת ב‑threat intelligence ו‑endpoint security. 

עוד חברות שיכולות להרוויח הן סייברארק, CyberArk Software, חברה ישראלית-אמריקנית שמובילה בתחום ניהול גישה והרשאות. וגם צ'קפוינט Check Point Software Technologies Ltd. 2.04%  עשויה לראות התעוררות, בייחוד במיוחד במגזר הממשלתי והפיננסי באירופה, שם קיימת נטייה לעבוד עם מערכות מקומיות ולשלב פתרונות אבטחה ישראליים.