Logo: Microsoft // Sammensætning: ZDNet
Hacker grupper er at angribe Microsoft SharePoint-servere til at udnytte en nylig patchet sårbarhed og få adgang til virksomhedernes og de offentlige netværk, i henhold til de seneste sikkerhedsbulletiner sendt ud af Canadiske og Saudi Arabian cybersecurity agenturer.
Det sikkerhedshul, der udnyttes i disse angreb er registreret som CVE-2019-0604, som Microsoft har lappet gennem sikkerhedsopdateringer, der udgives i februar, Marts og April i år.
“En hacker, som med held udnytter den svaghed, vil kunne køre vilkårlig kode i forbindelse med SharePoint application pool, og SharePoint server farm-konto,” sagde Microsoft i gang.
Angreb startede i slutningen af April
Demo udnytte kode for CVE-2019-0604 blev offentliggjort i Marts af Markus Wulftange, sikkerhedsekspert, der har fundet den sårbarhed, men andre Poc også dukkede op på GitHub og Pastebin.
Angreb startede snart efter, i slutningen af April. Den Canadiske Center for cybersikkerhed sendte først en advarsel i sidste måned, og derefter embedsmænd fra Saudi-National Cyber Security Center (NCSC) har sendt en anden sikkerhed alarm i denne uge.
Både cybersecurity agenturer rapporteret at se angribere tage over SharePoint-servere og plante en version af Kina Chopper web-shell, er en type malware, der er installeret på servere, der gør det muligt for hackere at oprette forbindelse til det og udstede forskellige kommandoer.
“Det er interessant, at både den Canadiske og Saudi-regeringen har oplyst, installation af Kina Chopper i starten af indtrængen,” Chris Doman, en sikkerhedsekspert hos AT&T ‘ s Alien Vault Labs, fortalte ZDNet i dag.
De canadiske myndigheder sagde, at “tillid til forskere har identificeret kompromitterede systemer, der tilhører den akademiske verden, utility, tung industri, produktion og teknologi sektorer.”
På den anden side, Saudi-embedsmænd ikke sige, hvem angriberne overtrådt, men de gjorde udgive en post-mortem fra en af offeret netværk, der viser, hvordan angriberne brugte “PowerShell-scripts for at få mere adgang til og etablere det indre rekognoscering i netværket.”
De sagde også, at de angreb, der er rettet mod Saudi-organisationer, der kører SharePoint team samarbejde servere har stået på i omkring to uger, sætte starten af angreb på samme tid med advarslen kommer fra den Canadiske agentur.
Ingen beviser for de angreb, der er forbundet
Mens dette kunne se ud som angreb eller anden måde er relateret, aktuelle beviser understøtter ikke denne teori.
“Både Canadierne og Saudierne nævne Kina Chopper web-shell-men det er temmelig fælles,” Doman fortalte ZDNet. “På trods af navnet, Kina Chopper bruges af hackere i et antal regioner.”
Desuden er der en forsker, der pegede ud på Twitter, at en af de IP-adresser, der er involveret i angrebene på SharePoint-servere, havde også været brugt af FIN7 cyberkriminalitet gruppen-kendt for at angribe den finansielle sektor.
Men Doman ikke mener, at FIN7 er den gruppe, der angriber Microsoft SharePoint-servere, — i det mindste for tiden.
“At IP har været brugt af FIN7 i de sidste par måneder, og jeg har ikke set andre ondsindede aktivitet fra det. Det er ikke et almindeligt misbrugte IP-som en VPN eller gratis web-host eller lignende,” Doman fortalte ZDNet. “På samme tid, i sig selv er det en forholdsvis svage led.”
Patching eller firewall SharePoint server er et must
Med aktive angreb i gang, virksomheder, der kører SharePoint servere rådes til at medbringe deres systemer er opdateret for at mindske eventuelle trusler.
CVE-2019-0604 er kendt for at påvirke en stor bid af de seneste SharePoint udgivelser, såsom:
Microsoft SharePoint Enterprise Server 2016Microsoft SharePoint Foundation 2013 SP1Microsoft SharePoint Server 2010 SP2Microsoft SharePoint Server 2019
Hvis pletter ikke kan anvendes, organisationer rådes til at sætte sårbare SharePoint server bag en firewall, der er tilgængelig på interne netværk. Servere, der kan være sårbart, men i det mindste, at de ikke vil være en gateway for hackere ind i virksomheders netværk.
Der er endnu ikke en offentlig (web-tilgængelige) udnytte til RCE mod SharePoint (dem på Github og ZDI ikke finde ud af boksen).
Hvis der ændrer jeg tror, at dette vil være en af de største vulns i år. Det ville eje en masse af virksomheder. Ligesom en MASSE.
— Kevin Beaumont 🧝🏽♀️ (@GossiTheDog) 10 Maj 2019
Relaterede malware og it-kriminalitet dækning:
En hacker er tørre Git-depoter og beder om en ransomHackers stjæle data fra 201 online campus butikker fra Canada og USChinese hackere brugte NSA-malware et år, før Shadow Mæglere leakRussian cyberspies bruger et helvede af en dygtig Microsoft Exchange backdoorNorth Korea lancerer nye Electricfish malware i Skjulte Cobra campaignsTwo crypto-mining grupper kæmper en græstørv krigen over usikrede Linux serversThe dark web er mindre, og kan være mindre farligt, end vi tror, TechRepublicGame of Thrones er den mest malware af enhver piratkopierede TV-show CNET
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre