Logo: Microsoft // Samenstelling: ZDNet
De Hacker groepen zijn aanval op Microsoft SharePoint-servers te benutten in een recent gepatcht beveiligingslek en toegang tot bedrijfs-en overheidsnetwerken, volgens recente beveiligingsadviezen verzonden door de Canadese en de Saoedi-arabische Arabische cyber-security-agentschappen.
Het lek misbruikt in deze aanvallen wordt gevolgd als CVE-2019-0604, waarbij Microsoft gepatcht via beveiligingsupdates uitgebracht in februari, Maart en April van dit jaar.
“Een aanvaller die erin slaagt misbruik te maken van de kwetsbaarheid kan willekeurige code uitvoeren in de context van de SharePoint-toepassing zwembad en de SharePoint-server farm-account, Microsoft” zei op het moment.
De aanvallen begonnen in eind April
Demo exploit code voor CVE-2019-0604 is in Maart gepubliceerd door Markus Wulftange, de security-onderzoeker die de kwetsbaarheid, maar ook andere PoCs ook dook op GitHub en Pastebin.
De aanvallen begonnen al snel na, eind April. Het Canadian Centre for Cyber Security eerst een waarschuwing verzonden laatste maand, en dan de ambtenaren van de Saoedische Nationale Cyber Security Center (NCSC) stuurde een tweede security alert deze week.
Beide cyber-security instanties gemeld dat aanvallers over te nemen van SharePoint-servers en plant een versie van de China Chopper web shell, een type van malware geïnstalleerd op servers waarmee hackers om verbinding te maken met het probleem en de verschillende opdrachten.
“Het is interessant dat zowel de Canadese als de Saoedische regering meldde de installatie van Chinna Chopper aan het begin van de inbraken,” Chris Doman, een security-onderzoeker at&T ‘ s Alien Vault Labs, vertelde ZDNet vandaag.
De canadese overheid zei dat de “vertrouwde onderzoekers hebben geïdentificeerd gevaar gebrachte systemen die behoren tot de academische, utility, zware industrie, productie en technologie sector.”
Aan de andere kant, Saoedi-ambtenaren niet gezegd dat die aanvallers geschonden, maar ze deden het publiceren van een post-mortem van een van de slachtoffer-netwerken, laten zien hoe aanvallers gebruikt “PowerShell-scripts krijgen meer toegang tot en het vaststellen van de interne verkenning in het netwerk.”
Ze zei ook dat de aanvallen gericht op Saoedi-organisaties met SharePoint team collaboration servers hebben al ongeveer twee weken, waardoor de start van de aanslagen op hetzelfde moment met de waarschuwing afkomstig van de Canadese agentschap.
Geen bewijs van de aanvallen zijn aangesloten
Hoewel dit eruit zou kunnen zien van de aanslagen zijn de een of andere manier gerelateerd zijn, de huidige gegevens geen ondersteuning voor deze theorie.
“Zowel de Canadezen en de saudi’ s vermelden de China Chopper web shell – maar dat is vrij gebruikelijk,” Doman vertelde ZDNet. “Ondanks de naam, China Chopper is gebruikt door aanvallers uit een aantal regio’ s.”
Bovendien, een onderzoeker gewezen op Twitter dat een van de IP-adressen die betrokken zijn bij de aanslagen op de SharePoint-servers had ook gebruikt door de FIN7 cyber-crime group –bekend voor het aanvallen van de financiële sector.
Echter, Doman niet geloven dat FIN7 is de groep te vallen Microsoft SharePoint-servers –althans voor het moment.
“Dat IP is gebruikt door FIN7 in de laatste paar maanden en ik heb nog niet gezien dat andere kwaadaardige activiteiten. Het is niet een algemeen gebruikte IP-zoals een VPN of een gratis web-host of iets dergelijks,” Doman vertelde ZDNet. “Op hetzelfde moment, in zichzelf als het is een vrij zwakke schakel.”
Patchen of firewalling SharePoint-servers is een must
Met actieve aanvallen aan de gang, bedrijven met SharePoint servers worden geadviseerd om hun systemen up-to-date, naar het inperken van een bedreiging.
CVE-2019-0604 is bekend om de impact van een groot deel van het recente SharePoint releases, zoals:
Microsoft SharePoint Enterprise Server 2016Microsoft SharePoint Foundation 2013 SP1Microsoft SharePoint Server 2010 SP2Microsoft SharePoint Server 2019
Als de vlekken niet kunnen worden toegepast, worden organisaties geadviseerd om kwetsbare SharePoint-servers achter een firewall, bereikbaar op interne netwerken. Servers kunnen blijven kwetsbaar, maar in ieder geval zal het niet een gateway voor hackers in bedrijven’ netwerken.
Er is nog niet een openbare (web toegankelijk) exploiteren voor RCE tegen SharePoint (die op Github en ZDI werk niet uit de doos).
Als dat verandert denk ik dat dit één van de grootste vulns in jaren. Het zou veel ondernemingen. Zoals VEEL.
— Kevin Beaumont 🧝🏽♀️ (@GossiTheDog) 10 Mei 2019
Gerelateerde malware en cybercriminaliteit dekking:
Een hacker is af te vegen Git repositories en vragen om een ransomHackers stelen van de gegevens van de kaart van 201 online campus winkels van Canada en de USChinese hackers werden met behulp van NSA malware een jaar voordat Schaduw Makelaars leakRussian cyberspies zijn met behulp van een hel van een slimme Microsoft Exchange backdoorNorth-Korea lanceert het nieuwe Electricfish malware in Verstopt Cobra campaignsTwo crypto-mijnbouw groepen vechten een turf war over onbeveiligde Linux serversThe donkere web is kleiner en minder gevaarlijk, dan denken we TechRepublicSpel der Tronen heeft de meeste malware van illegale TV-show CNET
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters