Logo: Microsoft // Composizione: ZDNet
Gruppi di Hacker attaccano i server di Microsoft SharePoint per sfruttare una recente patch vulnerabilità per ottenere l’accesso a reti aziendali e governative, secondo i recenti avvisi di sicurezza inviato da Canadian e Arabia saudita cybersecurity agenzie.
La falla di sicurezza è sfruttata in questi attacchi è registrata come CVE-2019-0604, che Microsoft ha rilasciato una patch di sicurezza per gli aggiornamenti rilasciati in febbraio, Marzo e aprile di quest’anno.
“Un utente malintenzionato può sfruttare la vulnerabilità può consentire l’esecuzione di codice arbitrario nel contesto del pool di applicazioni di SharePoint e SharePoint server farm conto,” Microsoft ha detto al momento.
Attacchi iniziato a fine aprile
Demo codice per sfruttare le vulnerabilità CVE-2019-0604 stato pubblicato a Marzo da Markus Wulftange, il ricercatore di sicurezza che ha scoperto la vulnerabilità, ma altri Poc anche spuntato su GitHub e Pastebin.
Gli attacchi sono iniziati subito dopo, alla fine di aprile. Il Centro Canadese per la Sicurezza informatica di invio di un avviso il mese scorso, e quindi i funzionari Saudita National Cyber Security Center (NCSC) ha inviato un secondo avviso di protezione di questa settimana.
Sia cybersecurity agenzie riferito di aver visto gli aggressori di prendere in consegna i server di SharePoint e impianto di una versione di China Chopper web shell, un tipo di malware installato sul server, che consente agli hacker di connettersi ad esso e l’emissione di vari comandi.
“È interessante che sia il Canadese e il governo Saudita ha riferito l’installazione di China Chopper all’inizio delle intrusioni,” Chris Doman, un ricercatore di sicurezza di at&T Aliene di Deposito Laboratori, ha detto a ZDNet oggi.
Autorità canadesi, ha detto che “di fiducia i ricercatori hanno identificato i sistemi compromessi appartenenti al mondo accademico, utilità, l’industria pesante, la produzione e i settori della tecnologia.”
D’altra parte, i funzionari Sauditi non ha detto che gli aggressori violato, ma hanno fatto pubblicare un post-mortem da una delle vittime reti, mostrando come aggressori hanno utilizzato “script di PowerShell per ottenere un accesso maggiore e stabilire interno di ricognizione in rete.”
L’hanno detto anche gli attacchi volti a Arabia organizzazioni esecuzione del team di SharePoint server di collaborazione sono in corso da circa due settimane, mettendo l’inizio degli attacchi, al tempo stesso, con l’avviso proveniente dal Canadese agenzia.
Nessuna evidenza gli attacchi sono collegati
Anche se questo può sembrare come gli attacchi sono in qualche modo legati, le attuali evidenze non supportano questa teoria.
“Entrambi i Canadesi e i Sauditi parlare China Chopper web shell — ma questo è abbastanza comune,” Doman detto a ZDNet. “Nonostante il nome, China Chopper è utilizzato dagli hacker da un certo numero di regioni.”
Inoltre, un ricercatore ha sottolineato su Twitter che uno degli indirizzi IP coinvolti negli attacchi di SharePoint server era stato utilizzato anche da FIN7 del gruppo sportivo-noto per attaccare il settore finanziario.
Tuttavia, Doman non credo che FIN7 è il gruppo di attaccare i server di Microsoft SharePoint-almeno per il momento.
“Che l’IP è stato utilizzato da FIN7 nell’ultimo paio di mesi e non ho visto altre attività dannose. Non è un comunemente abusato IP come una VPN o free web host o simili,” Doman detto a ZDNet. “Allo stesso tempo, di per sé, è piuttosto debole.”
L’applicazione di patch o di firewalling SharePoint server è un must
Con attacchi in corso, società che esegue SharePoint server sono invitati a portare i loro sistemi aggiornato per mitigare qualsiasi minaccia.
CVE-2019-0604 è noto per influenzare un grande pezzo di recenti versioni di SharePoint, ad esempio:
Microsoft SharePoint Enterprise Server 2016Microsoft SharePoint Foundation 2013 SP1Microsoft SharePoint Server 2010 SP2Microsoft SharePoint Server 2019
Se le patch non possono essere applicati, le organizzazioni sono invitati a mettere vulnerabili SharePoint server dietro un firewall, raggiungibile su reti interne. I server potrebbero rimanere vulnerabile, ma almeno non essere un gateway per gli hacker in societa’ di reti.
Non c’è ancora un pubblico (accessibile dal web) per sfruttare RCE contro SharePoint (quelli su Github e ZDI non funziona il box).
Se che cambia credo che questo sarà uno dei più grandi vulns anni. Sarebbe proprio un sacco di imprese. Piace, MOLTO.
— Kevin Beaumont 🧝🏽♀️ (@GossiTheDog) 10 Maggio 2019
Correlati malware e attacchi informatici di copertura:
Un hacker è puliscono il repository Git e chiedere un ransomHackers rubare i dati della carta da 201 campus online negozi Canada e il USChinese hacker stavano usando NSA malware di un anno prima di Shadow Broker leakRussian cyberspies utilizza un inferno di un intelligente di Microsoft Exchange backdoorNorth Corea debutta con una nuova Electricfish malware Nascosti Cobra campaignsTwo crypto-mining gruppi di combattere una guerra tappeto erboso oltre chirografari Linux serversThe scuro web è più piccolo, e può essere meno pericoloso, di quanto pensiamo TechRepublicGame of Thrones ha più malware di qualsiasi pirata TV show CNET
Argomenti Correlati:
Enterprise Software
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati