Servidores do Microsoft SharePoint estão sob ataque

Grupos de hackers estão atacando servidores do Microsoft SharePoint para explorar uma vulnerabilidade recentemente corrigida e ganhar acesso a redes corporativas e governamentais, de acordo com recentes alertas de segurança enviados por agências de segurança cibernética do Canadá e da Arábia Saudita .

A falha de segurança explorada nesses ataques é rastreada como CVE-2019-0604 , que a Microsoft corrigiu através de atualizações de segurança lançadas em fevereiro, março e abril deste ano.

“Um invasor que explorou com êxito a vulnerabilidade pode executar um código arbitrário no contexto do pool de aplicativos do SharePoint e da conta do farm de servidores do SharePoint”, disse a Microsoft na época.

ATAQUES COMEÇARAM NO FINAL DE ABRIL

O código de exploração de demonstração do CVE-2019-0604 foi publicado em março por Markus Wulftange, o pesquisador de segurança que encontrou a vulnerabilidade, mas outros PoCs também apareceram no GitHub e no Pastebin .

Os ataques começaram logo depois, no final de abril. O Centro Canadense de Segurança Cibernética enviou pela primeira vez um alerta no mês passado e, em seguida, funcionários do Centro Nacional de Segurança Cibernética da Arábia Saudita (NCSC) enviaram um segundo alerta de segurança nesta semana.

Ambas as agências de segurança cibernética informaram que os invasores invadiram servidores do SharePoint e instalaram uma versão do shell da web China Chopper, um tipo de malware instalado em servidores que permite que hackers se conectem a ele e emitam vários comandos.

“É interessante que tanto o governo canadense quanto o saudita relataram a instalação da China Chopper no início das intrusões”, disse Chris Doman , pesquisador de segurança da Alien Vault Labs , da AT & T , à ZDNet .

As autoridades canadenses disseram que “pesquisadores confiáveis ​​identificaram sistemas comprometidos pertencentes aos setores acadêmico, de serviços públicos, indústria pesada, manufatura e tecnologia”.

Por outro lado, as autoridades sauditas não disseram quem atacou, mas publicaram um post-mortem de uma das redes de vítimas, mostrando como os invasores usaram “scripts do PowerShell para obter mais acesso e estabelecer o reconhecimento interno na rede. “

Eles também disseram que os ataques direcionados a organizações sauditas que executam servidores de colaboração em equipe do SharePoint já duram cerca de duas semanas, colocando o início dos ataques ao mesmo tempo com o alerta vindo da agência canadense.

NENHUMA EVIDÊNCIA DE QUE OS ATAQUES ESTÃO CONECTADOS

Embora isso possa parecer que os ataques estão de alguma forma relacionados, as evidências atuais não apóiam essa teoria.

“Tanto os canadenses como os sauditas mencionam a casca da China Chopper – mas isso é muito comum”, disse Doman. “Apesar do nome, o China Chopper é usado por atacantes de várias regiões.”

Além disso, um pesquisador apontou no Twitter que um dos endereços IP envolvidos nos ataques aos servidores do SharePoint também havia sido usado pelo grupo de cibercrime FIN7 – conhecido por atacar o setor financeiro.

No entanto, Doman não acredita que o FIN7 seja o grupo que está atacando os servidores do Microsoft SharePoint – pelo menos por enquanto.

“Esse IP foi usado pela FIN7 nos últimos dois meses e eu não vi outra atividade maliciosa dele. Não é um IP comumente usado como uma VPN ou um host gratuito ou similar”, disse Doman. “Ao mesmo tempo, em si é um elo bastante fraco.”

O PATCH OU O FIREWALL DOS SERVIDORES DO SHAREPOINT É OBRIGATÓRIO

Com ataques ativos em andamento, as empresas que executam servidores do SharePoint são aconselhadas a atualizar seus sistemas para mitigar qualquer ameaça.

O CVE-2019-0604 é conhecido por impactar uma grande parte dos lançamentos recentes do SharePoint, como:

  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft SharePoint Foundation 2013 SP1
  • Microsoft SharePoint Server 2010 SP2
  • Microsoft SharePoint Server 2019

Se os patches não puderem ser aplicados, as organizações são aconselhadas a colocar os servidores SharePoint vulneráveis ​​atrás de um firewall, acessível apenas nas redes internas. Os servidores podem permanecer vulneráveis, mas pelo menos não serão uma porta de entrada para hackers nas redes das empresas.