Svakhet i Sharepoint skal ha rammet 400 aktører - har vært kjent siden mai

Til tross for forsøk på å løse problemet, rakk ikke Microsoft få orden på Sharepoint i tide til å hindre angrep.

Bildet er av utsiden av Microsofts kontorer på Manhattan i New York. Logoen og selskapets navn preger fronten av en fasade i glass og metall. En mann i shorts og korterma skjorte går forbi.

Microsoft har hatt det travelt med å stenge et sikkerhetshull i Sharepoint de siste dagene.

Jimin Kim / SOPA Images / Shutterstock / NTB

Arnfinn Storsveen journalist, kode24.no

Publisert 23.07.2025 - 15:30

De siste dagene er det gjennomført flere dataangrep, som alle har tatt utgangspunkt i den samme sårbarheten i Microsoft-tjenesten Sharepoint.

Problemet gjelder lokale Sharepoint-servere. SharePoint Online i Microsoft 365 er ikke berørt av problemet.

I korte trekk innebar feilen at ondsinnede krefter kunne skaffe tilgangene de måtte trenge, for å installere ulike former for skadevare, og i forlengelsen av dette skaffe seg tilganger.

Nå er det klart at svakheten har vært kjent siden mai, men at Microsoft ikke har klart å lukke svakheten i tide, melder Reuters.

Avdekka under hackerkonkurranse

Ifølge Reuters skal svakheten ha blitt avdekka under en hackerkonkurranse i Berlin i regi av Trend Micro.

Dette var i mai, og det ble blant annet lovet ut en dusør på 100.000 dollar (en drøy million kroner) for å finne «zero-day»-svakheter mot Sharepoint.

Tidligere i juli ble det sendt ut en sikkerhetspatch for å fikse den kritiske svakheten, men dette var ikke tilstrekkelig.

En talsperson for Microsoft sier til Reuters at den antatte løsningen på problemet ikke funka, men presiserer at de senere patchene skal ha lykkes med å løse problemet.

Microsoft ber i et blogginnlegg alle om å installere disse umiddelbart.

Microsoft og Replit samarbeider om "business-vibekoding"

Vibekode-tjenesten Replit blir tilgjengelig i Azure Marketplace og integreres med en rekke av Microsofts skytjenester.

Flere hundre berørte aktører

På de dagene angrepene har pågått, skal et tresifra antall aktører ha blitt ramma.

Det var det nederlandske sikkerhetsselskapet Eye Security som oppdaga det første konkrete angrepet torsdag kveld i forrige uke.

I en oppdatering onsdag denne uka, skriver de at de ved å scanne mer enn 23.000 Sharepoint-servere har funnet ut at mer enn 400 systemer er berørt, og at dette har skjedd i fire bølger.

Selv før teknikken ble kjent skal det ha vært nærmere 100 ofre, sier Vaisha Bernard til Reuters. Bernard er en av eierne i Eye Security, og har ellers tittelen sjefshacker.

Europol: Pro-russisk hacker-gruppe oppløst etter aksjon

Gruppa skal ifølge Europol stå bak flere angrep mot kritisk, europeisk infrastruktur.

Mener sporene peker mot Kina

Microsoft mener å ha identifisert tre hackergrupper de kjenner igjen fra tidligere. To av de skal ha støtte fra den kinesiske staten.

De to statsstøtta gruppene går under navnene Linen Typhoon og Violet Typhoon.

Linen Typhoon skal ifølge Microsoft fokusere på å stjele immaterielle verdier.
Violet Typhoon skal angivelig ha fokus på spionasjeformål.
Den tredje gruppa Microsoft mener å ha klart å spore, er Storm-2603. Microsoft er ganske sikre på at denne også er basert i Kina, men sliter med å identifisere hvilket motiv denne skal ha i denne angrepsbølgen.

Rundt 9.000 folk mister jobben i Microsoft

Microsoft er klare for årets fjerde nedbemanningsrunde.

Kinas ambassade i Washington sier til Reuters at de er mot alle former for dataangrep, og legger til at de er mot «å spre rykter om andre uten solide bevis.»

Ifølge The Shadowserver Foundation er de aller fleste av de berørte aktørene basert i USA eller i Tyskland.

The Independent melder at to av de berørte aktørene er amerikanske departementer. De skriver også at det skal være bekrefta at angrepene har fått følger i Spania, Brasil - og Kina.