Et alvorligt sikkerhedshul i Microsofts SharePoint-software bliver udnyttet til at sprede ransomware, advarer Microsoft.
Angrebene er en eskalation af en kampagne, der allerede har kompromitteret mindst 400 organisationer verden over – herunder danske Bornholms Regionskommune.
I et blogindlæg offentliggjort sent onsdag advarer Microsoft om, at den kendte SharePoint-sårbarhed, som selskabet tidligere på ugen udsendte en nødopdatering ud for at lappe, nu bliver udnyttet i en omfattende ransomware-kampagne.
Ifølge Microsoft står den kinesisk-forbundne hackergruppe “Storm-2603” bag de seneste angreb, hvor ofrenes netværk lammes, indtil en digital løsesum betales.
Microsoft skriver, at der er tale om en “eskalation” i forhold til tidligere angreb, der primært var centreret omkring datatyveri. Den nye fase indebærer langt større forstyrrelser og potentielt kritiske konsekvenser for de ramte organisationer.
Langt over 400 virksomheder kan være ramt
Ifølge det hollandske cybersikkerhedsfirma Eye Security er mindst 400 organisationer allerede ramt, hvilket er en markant stigning i forhold til de omkring 100 tilfælde, der blev rapporteret i weekenden.
Og der er højst sandsynligt langt flere, der er ramt, siger Vaisha Bernard, der er chef for hacking hos Eye Security til Reuters.
”Der er mange flere, fordi ikke alle angreb efterlader spor, vi kan scanne efter.”
Blandt ofrene er det amerikanske energiministerium herunder dets nationale nukleare sikkerhedsadministration (NNSA), der blandt andet har ansvar for USA’s atomvåben.
”Fredag den 18. juli begyndte udnyttelsen af en Microsoft SharePoint zero-day-sårbarhed at påvirke Energiministeriet, herunder NNSA. Ministeriet blev kun minimalt påvirket på grund af sin udbredte brug af Microsoft M365-skyen og meget effektive cybersikkerhedssystemer. Et meget lille antal systemer blev påvirket. Alle berørte systemer er ved at blive gendannet,” udtaler en talsmand fra NNSA til The Register.
Derudover rapporterer flere medier, herunder NextGov og Politico, at en bred vifte af amerikanske myndigheder er blevet ramt. Microsoft og den amerikanske cybersikkerhedsmyndighed CISA har endnu ikke kommenteret angrebenes omfang.
Sårbarheden blev opdaget i foråret
De berørte versioner inkluderer SharePoint Enterprise Server 2016, 2019 og SharePoint Server Subscription Edition.
Angrebene udnytter en kombination af to kritiske sårbarheder – CVE-2025-53770 og CVE-2025-53771 – som tilsammen gør det muligt at omgå autentificering og udføre ondsindet kode på netværket.
Sårbarheden blev første gang identificeret under en hacker-konkurrence i Berlin i maj. Microsoft udsendte tidligere i juli en nødopdatering, som dog viste sig at være utilstrækkelig.
Først i denne uge fulgte en ny opdatering, som skulle lukke sikkerhedshullet helt.
Microsoft har endnu ikke oplyst, hvor mange organisationer der konkret er ramt, men advarer om, at flere aktører nu kan finde på at udnytte samme sårbarhed.
Bornholms Regionskommune også forsøgt ramt
Også i Danmark har angrebene haft konkrete konsekvenser. Bornholms Regionskommune opdagede torsdag i sidste uge et forsøg på angreb, der eskalerede kraftigt natten til tirsdag.
”Vi var nervøse for, hvor længe vi kunne holde til det her,” fortalte kommunens it-chef Claus Munk til Computerworld tirsdag.
Hjemmesiderne blev tirsdag morgen lukket ned, mens Microsofts opdatering blev implementeret. Efter cirka fire timers arbejde var systemerne tilbage i normal drift.
Bornholm har ikke konstateret datatab, men evaluerer nu hele hændelsen for at forbedre beredskabet.