Microsoft vydal naliehavé upozornenie pre používateľov on‑premise SharePoint Servera po odhalení aktívnej zneužiteľnosti zero‑day zraniteľnosti (CVE‑2025‑53770), označenej ako „ToolShell“. Útočníci môžu neautentifikovane spustiť kód, ukradnúť kryptografické kľúče a získať plný prístup k obsahu SharePointu, vrátane súborových systémov a konfigurácií, čo ohrozuje aj služby ako Outlook, Teams a OneDrive. SharePoint Online (Microsoft 365) nie je zasiahnutý.
Detaily útoku a rozsah
Zraniteľnosť postihuje SharePoint Server 2019, Subscription Edition a Enterprise Server 2016. Útočníci obchádzajú autentifikáciu, nasadzujú webové shelly a získavajú MachineKey, ktorá zostáva platná aj po záplate. Bezpečnostné firmy hlásia desiatky až stovky napadnutých serverov, vrátane vládnych agentúr, univerzít, energetických spoločností a telekomunikačných firiem po celom svete.
Začnite investovať ešte dnes alebo vyskúšajte demo zdarma
Otvoriť účet Demo účet Stiahnuť mobilnú aplikáciu Stiahnuť mobilnú aplikáciuKrízové opatrenia
Microsoft vydal urgentné záplaty pre SharePoint 2019 a Subscription Edition; záplata pre verziu 2016 je vo vývoji. CISA odporúča okamžitú inštaláciu aktualizácií, aktiváciu AMSI, nasadenie Defendera, rotáciu MachineKey a odpojenie serverov prístupných z internetu, ak ochrana nie je možná. Bez rýchleho zásahu môžu byť systémy ohrozené aj po aplikácii záplat.
Varovania expertov
Jednotka Unit 42 firmy Palo Alto Networks označila túto situáciu za „vysokú závažnosť a urgentnosť“ s rizikom pohybu naprieč sieťou a trvalého prístupu vďaka ukradnutým kľúčom. CTO spoločnosti Mandiant Charles Carmakal upozorňuje, že firmy by mali považovať svoje systémy za kompromitované a začať incident response, keďže „nejde len o aplikáciu záplaty a je hotovo“
Zaujala Vás táto téma? V XTB môžete obchodovať viac než 2000 CFD na akcie!
- Konkurenčné spready
- Nízke swapové body, vďaka ktorým môžete držať pozície dlhšie
- Minimálna hodnota transakcie už od 0 EUR
Okrem širokého spektra nástrojov od nás získate aj vzdelávacie materiály ako články, e-booky či kurzy zadarmo:
Tento materiál je marketingovou komunikáciou v zmysle čl. 24 ods. 3 smernice Európskeho parlamentu a Rady 2014/65/EÚ z 15. mája 2014 o trhoch s finančnými nástrojmi, ktorou sa mení smernica 2002/92/ES a smernica 2011/61/EÚ (MiFID II). Marketingová komunikácia nie je investičným odporúčaním ani informáciou odporúčajúcou alebo navrhujúcou investičnú stratégiu v zmysle nariadenia Európskeho parlamentu a Rady (EÚ) č. 596/2014 zo 16. apríla 2014 o zneužívaní trhu (nariadenie o zneužívaní trhu) a o zrušení smernice Európskeho parlamentu a Rady 2003/6/ES a smerníc Komisie 2003/124/ES, 2003/125/ES a 2004/72/ES a delegovaného nariadenia Komisie (EÚ) 2016/958 z 9. marca 2016, ktorým sa dopĺňa nariadenie Európskeho parlamentu a Rady (EÚ) č. 596/2014, pokiaľ ide o regulačné technické predpisy upravujúce technické opatrenia na objektívnu prezentáciu investičných odporúčaní alebo iných informácií, ktorými sa odporúča alebo navrhuje investičná stratégia, a na zverejňovanie osobitných záujmov alebo uvádzanie konfliktov záujmov v zmysle zákona č. 566/2001 Z. z. o cenných papieroch a investičných službách. Marketingová komunikácia je pripravená s najvyššou starostlivosťou, objektivitou, prezentuje fakty známe autorovi k dátumu prípravy a neobsahuje žiadne hodnotiace prvky. Marketingová komunikácia je pripravená bez zohľadnenia potrieb klienta, jeho individuálnej finančnej situácie a nijakým spôsobom nepredstavuje investičnú stratégiu. Marketingová komunikácia nepredstavuje ponuku na predaj, ponuku, predplatné, výzvu na nákup, reklamu alebo propagáciu akýchkoľvek finančných nástrojov. XTB S.A. organizačná zložka nezodpovedá za žiadne kroky alebo opomenutia klienta, najmä za nadobudnutie alebo predaj finančných nástrojov. XTB nezodpovedá za žiadnu stratu alebo škodu, vrátane, bez obmedzenia, akejkoľvek straty, ktorá môže vzniknúť priamo alebo nepriamo, spôsobená na základe informácií obsiahnutých v tejto marketingovej komunikácii. V prípade, že marketingová komunikácia obsahuje akékoľvek informácie o akýchkoľvek výsledkoch týkajúcich sa finančných nástrojov v nej uvedených, nepredstavujú žiadnu záruku ani prognózu budúcich výsledkov. Minulá výkonnosť nemusí nevyhnutne naznačovať budúce výsledky a každá osoba konajúca na základe týchto informácií tak robí výlučne na vlastné riziko.
