ShareValue | WAARSCHUWING - SharePoint servers worden actief aangevallen door CVE-2019-0604

Nieuws

15-05-2019

SharePoint servers worden actief aangevallen door CVE-2019-0604


CVE-2019-0604, een kritieke kwetsbaarheid die niet-gepatchde Microsoft SharePoint-servers mogelijk maakt om aan te vallen, wordt door aanvallers gebruikt om een webshell te installeren. Met de webshell kunnen ze continu toegang krijgen tot het systeem en mogelijk tot het interne netwerk waarop het zich bevindt. Volgens het Canadian Center for Cyber Security hebben onderzoekers aangetaste systemen geïdentificeerd die in de academische sectoren, nutsbedrijven, zware industrie, productie- en technologiesectoren behoren.

Over CVE-2019-0604

SharePoint is een op web gebaseerd samenwerkingsplatform dat kan worden geïntegreerd met Microsoft Office. SharePoint Servers worden geïnstalleerd op IT-infrastructuren van organisaties die meer controle willen over het gedrag of ontwerp van SharePoint.

"Er bestaat een beveiligingslek met betrekking tot het uitvoeren van externe code in Microsoft SharePoint wanneer de software de bronmarkering van een toepassingspakket niet kan controleren. Een aanvaller die erin slaagt het beveiligingslek te misbruiken, kan willekeurige code uitvoeren in de context van de SharePoint-toepassingsgroep en de SharePoint-server farm-account" verklaarde Microsoft in februari 2019, toen het voor het eerst patches voor de fout uitbracht.

"Misbruik van dit beveiligingslek vereist dat een gebruiker een speciaal vervaardigd SharePoint-toepassingspakket uploadt naar een getroffen versie van SharePoint."

De kwetsbaarheid is ontdekt door beveiligingsonderzoeker Markus Wulftange. Hij rapporteerde het aan Microsoft via het Zero Day Initiative van Trend Micro en publiceerde technische details en PoC-exploitatiecode in maart, een dag nadat Microsoft de oorspronkelijke beveiligingsupdate opnieuw had uitgebracht omdat de exploit ondanks de eerste patch nog steeds werkte.

Wulftange's PoC werd gevolgd door andere PoC's die openbaar werden gemaakt via GitHub en Pastebin. Microsoft heeft ook eind april de lijst met getroffen software uitgebreid en deze ziet er nu als volgt uit:

Product

Article

Download

Microsoft SharePoint Enterprise Server 2016

4462211

Security Update

Microsoft SharePoint Foundation 2010 Service Pack 2

4461630

Security Update

Microsoft SharePoint Foundation 2013 Service Pack 1

4462143

Security Update

Microsoft SharePoint Server 2010 Service Pack 2

4462184

Security Update

4461630

Security Update

Microsoft SharePoint Server 2013 Service Pack 1

4462202

Security Update

4462143

Security Update

Microsoft SharePoint Server 2019

4462199

Security Update

 

 

De aanvallen

Het Canadian Center for Cyber Security heeft een waarschuwing vrijgegeven over lopende aanvallen die gebruikmaken van CVE-2019-0604. Deze installeren de China Chopper-webshell die gepubliceerd is op 23 april en adviseren beheerders alle door Microsoft beschikbaar gestelde patches direct te implementeren.

"Als een SharePoint server alleen als on-premises instantie wordt gebruikt, moet u ervoor zorgen dat de server geen verbinding met internet heeft", merkt de organisatie op.

Het Saudi Cyber Security Center en AT&T Alien Labs hebben deze aanvallen ook gezien en waarschuwen voor deze aanvallen waarbij de fout wordt gebruikt om dezelfde webshell / backdoor te exploiteren.

"Het is waarschijnlijk dat meerdere aanvallers de exploit nu gebruiken. Een gebruiker op Twitter heeft gemeld dat ze uitbuiting hebben gezien van het IP-adres 194.36.189 [.] 177 - wat we ook hebben gezien als een zogenaamde command- en controlserver voor het verspreiden van malware." merkte een AT&T Alien Labs-onderzoeker op.

Naarmate de tijd verstrijkt, wordt verwacht dat minder technisch geschoolde criminelen deze exploits ook zullen gebruiken. Deze lijken nu te worden gehanteerd door degenen die erin geslaagd zijn om de PoC-exploits opnieuw te gebruiken en ze te laten werken. Dus als jouw organisatie een SharePoint-server on-premises beheert en je deze nog niet hebt beveiligd, is het nu hoog tijd om dit te doen.

Vond je dit een interessant bericht? Deel het!

Terug naar nieuwsoverzicht
© ShareValue 2019