Microsoft

Co cyberatak na Microsoft SharePoint oznacza dla biznesu?

Trwająca właśnie kampania cyberataków „ToolShell” skierowana przeciwko lokalnym serwerom Microsoft SharePoint nie jest jedynie kolejnym incydentem bezpieczeństwa. To sygnał ostrzegawczy dla firm i instytucji publicznych, które wciąż polegają na lokalnych środowiskach IT – często z pominięciem aktualizacji, bez ciągłego nadzoru i z ograniczonym budżetem na cyberochronę. Konsekwencje mogą być daleko poważniejsze niż tylko czasowe zakłócenia.

Słabość w lokalnych instalacjach

W ataku „ToolShell” cyberprzestępcy wykorzystują dwie luki – CVE-2025-53770CVE-2025-53771 – w lokalnych wersjach SharePoint Server. Oprogramowanie, które przez lata uchodziło za kluczowe ogniwo cyfrowej współpracy w firmach, okazało się łatwym celem – o ile nie zostało odpowiednio zabezpieczone. Co istotne, podatności nie dotyczą chmurowej wersji SharePoint Online, co tylko pogłębia przepaść między tymi, którzy już migrowali do środowisk SaaS, a tymi, którzy z różnych względów nadal utrzymują własną infrastrukturę.

Microsoft wydał już awaryjne poprawki dla wersji Subscription Edition i SharePoint Server 2019. Jednak użytkownicy wersji 2016 wciąż czekają na aktualizację – a to właśnie ta edycja jest szeroko wykorzystywana w instytucjach publicznych, szkołach i firmach produkcyjnych. Problem dotyczy więc nie tylko dużych korporacji, ale też całego zaplecza administracyjnego i edukacyjnego, które nie zawsze dysponuje działem cyberbezpieczeństwa z prawdziwego zdarzenia.

Skala problemu rośnie

Według niezależnych badaczy ataki trwają od co najmniej 17 lipca i nie są ograniczone geograficznie. Najbardziej poszkodowane są organizacje w USA, Niemczech, Francji i Australii, ale skala działania atakujących sugeruje, że narażone są instytucje na całym świecie – w tym także w Polsce.

Najbardziej niepokojący jest fakt, że celem ataków padły m.in. agencje rządowe i organizacje zarządzające infrastrukturą krytyczną. Eksperci ds. bezpieczeństwa zalecają, by każda organizacja z wystawionym do internetu lokalnym SharePointem przyjęła domyślne założenie: „jesteśmy już zainfekowani”.

Tego typu ostrzeżenia nie pojawiają się często. W praktyce oznacza to konieczność nie tylko zainstalowania dostępnych łatek, ale też dokładnego przeprowadzenia analiz śledczych, odcięcia dostępu zewnętrznego, rotacji kluczy kryptograficznych i potencjalnej odbudowy środowiska. Dla wielu firm oznacza to zatrzymanie projektów, angażowanie zewnętrznych zespołów IR (incident response) i poważne koszty operacyjne.

Dlaczego SharePoint?

SharePoint to nie tylko repozytorium dokumentów. W wielu organizacjach integruje się z Office’em, Teamsami, OneDrive’em i Outlookiem – stanowiąc w praktyce hub całej komunikacji i współdzielenia danych. Uzyskanie nieautoryzowanego dostępu do tego systemu oznacza dla atakującego dostęp do najważniejszych informacji operacyjnych firmy.

Dodatkowo luka CVE-2025-53770 umożliwia wykonanie zdalnego kodu bez uwierzytelnienia. W praktyce – pełne przejęcie kontroli nad serwerem, włącznie z kradzieżą danych, tworzeniem backdoorów i eksfiltracją kluczy kryptograficznych. Dla organizacji oznacza to nie tylko ryzyko wycieku danych, ale też potencjalny szantaż, infekcję ransomware i trwałe osłabienie zaufania klientów.

Kwestia strategiczna, nie tylko techniczna

Dla wielu przedsiębiorstw atak na SharePoint to moment zwrotny. Wieloletnie odkładanie decyzji o migracji do chmury lub modernizacji lokalnej infrastruktury właśnie pokazało swoją ciemną stronę. Firmy, które wcześniej zainwestowały w rozwiązania SaaS, były chronione przed tą kampanią niemal z definicji.

Z drugiej strony, sektor publiczny i duże organizacje z rygorystycznymi wymogami compliance nadal często utrzymują środowiska on-premise. Problem polega jednak na tym, że wiele z tych systemów działa w tzw. trybie „ustaw i zapomnij”. Brak zasobów, przeszkolonych administratorów i procedur IR powoduje, że wykrycie ataku może nastąpić dopiero po tygodniach – o ile w ogóle zostanie odnotowane.

Co dalej?

Organizacje, które jeszcze tego nie zrobiły, powinny bezzwłocznie:

  • Zainstalować dostępne poprawki Microsoftu (Subscription Edition, 2019),
  • Odłączyć lokalne SharePointy od internetu do czasu wydania łatek dla wersji 2016,
  • Zweryfikować logi, uruchomić analizy forensic i sprawdzić, czy nie doszło do eksfiltracji danych,
  • Zrotować klucze kryptograficzne, tokeny i hasła dostępowe,
  • Przeprowadzić pełny audyt konfiguracji i ekspozycji środowisk lokalnych.

W dłuższej perspektywie firmy powinny też zrewidować swoją strategię IT. Utrzymywanie lokalnych systemów bez planu aktualizacji i zasobów na ich zabezpieczanie jest dziś równie ryzykowne jak trzymanie gotówki w sejfie z wyjętym zamkiem. To nie jest już tylko temat dla działu IT – to zagadnienie strategiczne, które powinno trafić na biurko zarządu.

Popularne

Logistyka
IoT oraz IoB w logistyce, czyli pracownik w centrum zainteresowania przedsiębiorstwa
Kosmos
Odyseja kosmiczna XXI wieku. Cyberprzestępcy kontra MFA
AI, medycyna
Sztuczna inteligencja w medycynie
Epson
Przemysł nie wie, jak wykorzystać robotykę. To hamulec jej rozwoju w Polsce