Microsoft SharePoint este ținta unui atac cibernetic care afectează mii de companii și instituții guvernamentale
Microsoft a confirmat că se confruntă cu un atac activ asupra SharePoint, software-ul său de colaborare utilizat pe scară largă în companii și instituții guvernamentale din întreaga lume. Este vorba despre o breșă de securitate care le permite atacatorilor să obțină acces de la distanță la datele utilizatorilor, fără a avea nevoie de autentificare. Iar ceea ce face totul și mai grav este faptul că, odată ce intră în sistem, hackerii pot executa cod, fura parole, instala backdoor-uri și extrage informații importante.
Ce este SharePoint?
SharePoint este un serviciu folosit de multe companii pentru colaborare, partajarea documentelor și organizarea informațiilor interne. Practic, este un „hub” digital unde echipele pot lucra împreună, similar cu Google Workspace sau cu alte platforme de productivitate.
Problema semnalată de Microsoft și de Agenția Americană pentru Securitate Cibernetică (CISA) afectează versiunile instalate local ale platformei SharePoint (adică cele care rulează pe serverele organizației, nu în cloud). Potrivit cercetătorilor, vulnerabilitatea, identificată ca CVE-2025-53770 și cunoscută sub numele de cod „ToolShell”, le permite atacatorilor să se comporte ca niște utilizatori legitimi și să „sape” prin toate documentele și fișierele, inclusiv după ce patch-urile oficiale sunt aplicate.
Microsoft a reacționat, dar nu e suficient
Microsoft a lansat deja patch-uri pentru două dintre versiunile afectate ale SharePoint și a promis actualizări suplimentare. Totuși, nu toate versiunile sunt protejate în acest moment. Între timp, CISA recomandă ca organizațiile care nu pot aplica imediat actualizările să își deconecteze serverele SharePoint de la internet și să își fortifice măsurile de detecție și de securitate la logare.
Specialiștii recomandă, de asemenea, monitorizarea traficului suspect de la adresele IP 107.191.58.76, 104.238.159.149 și 96.9.125.147, în special pentru activitatea din perioada 18-19 iulie 2025. Vulnerabilitatea CVE-2025-53770 a fost adăugată oficial în catalogul CISA al vulnerabilităților exploatate cunoscute (KEV) pe 20 iulie 2025.
Potrivit companiilor de securitate cibernetică Palo Alto Networks și Eye Security, atacurile au fost deja detectate în „sălbăticie” (în lumea reală) și afectează mii de organizații.
Deși pare o problemă care vizează doar marile companii, și utilizatorii obișnuiți pot fi afectați, în special dacă aceste organizații gestionează date personale, conturi sau servicii publice. Iar dacă un atacator ajunge în sistem, se poate „plimba” nestingherit prin rețelele interconectate cu alte servicii Microsoft precum Outlook sau Teams.
Cloud-ul, mai sigur? Poate. Dar nu invincibil
Spre deosebire de serviciile on-premise, precum serverele SharePoint instalate local, soluțiile cloud, cum sunt Microsoft 365 sau Google Workspace, oferă în general un nivel mai ridicat de securitate, tocmai pentru că sunt gestionate centralizat și actualizate constant de furnizori.
În cazul acestui atac, Microsoft a confirmat că platformele sale cloud nu au fost afectate, ceea ce ar putea întări ideea că mutarea infrastructurii „în nor” e, de multe ori, mai sigură decât administrarea internă.
Atacul asupra SharePoint arată, dacă mai era nevoie, că în 2025, securitatea cibernetică nu mai este un moft, ci o necesitate. Indiferent dacă folosești un server local sau servicii în cloud, vulnerabilitățile pot apărea oricând.
