Logotyp: Microsoft // Sammansättning: ZDNet
Hacker grupper attackerar Microsoft SharePoint-servrar för att utnyttja en nyligen lappat sårbarhet och få tillgång till företag och offentliga nätverk, enligt senaste säkerhetsbulletinerna skickas ut av Kanadensiska och Saudi Arabian cybersäkerhet organ.
Den säkerhetsbrist som utnyttjas i dessa attacker är spårade som CVE-2019-0604 som Microsoft lagas genom säkerhetsuppdateringar som släpps i februari, Mars och April detta år.
“En angripare som lyckas utnyttja säkerhetsproblemet kan köra skadlig kod i samband med SharePoint application pool och SharePoint server-konto,” Microsoft sade på den tiden.
Attackerna inleddes i slutet av April
Demo utnyttja koden för CVE-2019-0604 publicerades i Mars av Markus Wulftange, säkerhet forskare som upptäckte sårbarheten, men andra PoCs också dök upp på GitHub och Pastebin.
Attackerna började strax efter, i slutet av April. Den Kanadensiska Centrum för It-Säkerhet först skickas en varning förra månaden, och då tjänstemän från Saudi National Cyber Security Center (NCSC) skickas en andra säkerhetsvarning den här veckan.
Både it-säkerheten organ rapporterade att se angripare ta över SharePoint-servrar och plantera en version av Kina Chopper web skal, en typ av skadlig kod installeras på servrar som tillåter hackare att ansluta till den och fråga olika kommandon.
“Det är intressant att både den Kanadensiska och den Saudiska regeringen rapporterade installation av Kina Chopper i början av intrång,” Chris Doman, en säkerhetsforskare på at&T: s Alien Vault Labs, berättade ZDNet idag.
De kanadensiska myndigheterna sade att “betrodda forskare har identifierat äventyras system som hör till det akademiska, utility, den tunga industrin, tillverkningsindustrin och it-sektorn.”
Å andra sidan, Saudi tjänstemän inte säga vem som brutit mot angripare, men de gjorde publicera en post-mortem från en av de offer nätverk, som visar hur angriparna använde “PowerShell-skript för att få tillgång till mer och upprätta den inre spaning i nätverket.”
De sa också att de attacker som syftar till Saudi organisationer för SharePoint team samarbete servrar har pågått i ungefär två veckor, sätta början av attacker på samma gång med den varningen kommer från den Kanadensiska läkemedelsmyndigheten.
Inga bevis för att attackerna är kopplade
Även om detta kan se ut som attacker på något sätt är relaterade, aktuella bevis inte har stöd för denna teori.
“Både Kanadensare och Saudierna nämna Kina Chopper webb-skal-men det är ganska vanligt,” Doman berättade ZDNet. “Trots namnet, Kina Chopper används av angripare från ett antal regioner.”
Dessutom, en forskare påpekade på Twitter att en av de IP-adresser som är inblandade i attacker på SharePoint-servrar hade också använts av FIN7 it-brottslighet-gruppen-som är känd för att attackera den finansiella sektorn.
Men Doman inte tror att FIN7 är den grupp som angriper Microsoft SharePoint-servrar-åtminstone för tillfället.
“Att IP har använts av FIN7 i de senaste månaderna och jag har inte sett andra skadliga aktiviteter från det. Det är inte ofta missbrukade IP som en VPN eller gratis web-host eller liknande,” Doman berättade ZDNet. “Vid samma tid, i och för sig att det är en ganska svag länk.”
Lapp eller brandväggsfunktioner SharePoint-servrar är ett måste
Med aktiva attacker som pågår, företag som kör SharePoint-servrar rekommenderas att få deras system upp till datum för att mildra eventuella hot.
CVE-2019-0604 är kända för att påverka en stor del av de senaste SharePoint-utgåvor, såsom:
Microsoft SharePoint Enterprise Server 2016Microsoft SharePoint Foundation 2013 SP1Microsoft SharePoint Server 2010 SP2Microsoft SharePoint Server 2019
Om fläckar inte kan tillämpas, organisationer uppmanas att sätta utsatta SharePoint-servrar bakom en brandvägg, är tillgänglig på interna nät. Servrar kan fortsätta att vara sårbar, men åtminstone de kommer inte att vara en inkörsport för hackers i företagens nätverk.
Det är ännu inte offentliga (webb tillgänglig) utnyttja för RKS mot SharePoint (de som ligger på Github och ZDI inte träna rutan).
Om att förändringar jag tror att detta kommer att vara en av de största vulns i år. Det skulle äga en hel del företag. Liksom, en HEL del.
— Kevin Beaumont 🧝🏽♀️ (@GossiTheDog) Maj 10, 2019
Relaterade skadliga program och it-brottslighet täckning:
En hacker är att torka av Git-arkiv och be om en ransomHackers stjäla card data från 201 online campus butiker från Kanada och USChinese hackare använde NSA-malware ett år innan Skugga Mäklare leakRussian cyberspies använder ett helvete av en smart Microsoft Exchange backdoorNorth Korea lanserar ny Electricfish skadlig kod i Dolda Cobra campaignsTwo crypto-utvinning av grupper som kämpar mot en turf krig över osäkra Linux serversThe mörka webben är mindre, och kan vara mindre farliga. än vi tror TechRepublicGame of Thrones har de mest skadliga av alla piratkopierade TV-show CNET
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter