SharePoint Server: Cybersicherheitsbehörden warnen vor Angriffen

Sicherheit
(Bild: Shutterstock)

Die Angriffe richten sich aktuell offenbar vorrangig gegen Unternehmen und Behörden in Kanada und Saudi Arabien. Für die von den Hackern ausgenutzte Lücke gibt es inzwischen mehrere Patches. Beispielcode für einen Exploit wird schon seit März angeboten.

Hinweisen von kanadischen und saudi-arabischen Cybersicherheitsbehörden zufolge nehmen Hackergruppen offenbar verstärkt SharePoint-Server ins Visier, um eine kürzlich gepatchte Schwachstelle auszunutzen und in Netzwerke von Unternehmen und Regierungen einzudringen. Angegriffen wird die Anfälligkeit mit der Kennung CVE-2019-0604, für die Microsoft in den Monaten Februar, März und April Patches bereitgestellt hat.

Die Schwachstelle wird von Microsoft als kritisch bewertet. Sie steckt in SharePoint Enterprise Server 2016, SharePoint Foundation 2010 Service Pack 2, SharePoint Foundation 2013 Service Pack 1, SharePoint Server 2010 Service Pack 2, SharePoint Server 2013 Service Pack 1 und SharePoint Server 2019. Unternehmen, die SharePoint-Produkte einsetzen, sollten die verfügbaren Patches nun zeitnah installieren. Sollte es nicht möglich sein, die Updates einzuspielen, sollte der Zugang zu den SharePoint-Servern auf interne Netzwerke beschränkt werden.

“Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code im Kontext des SharePoint-Anwendungspools und des SharePoint-Serverfarmkontos ausführen”, teilte das Unternehmen mit. “Die Ausnutzung dieser Sicherheitsanfälligkeit erfordert, dass ein Benutzer ein speziell gestaltetes SharePoint-Anwendungspaket auf eine betroffene SharePoint-Version hochlädt.”

Der Sicherheitsforscher Markus Wulftange, der die Schwachstelle auch entdeckte, veröffentlichte schon im März dBeispielcode für einen Exploit. Weitere Proof-of-Concept tauchten anschließend auf GitHub und Pastebin auf. Kurz darauf begannen dann auch die ersten Attacken.

Das Canadian Centre for Cyber Security reagierte schon im April mit seiner Sicherheitswarnung. Letzte Woche veröffentlichte dann auch das Saudi National Cyber Security Center eine Warnmeldung. Beide Behörden berichten von Fällen, in den Angreifer die Kontrolle über SharePoint-Server übernahmen und eine Version der Web Shell China Chopper einschleusten. Diese Malware erlaubt es Hackern, sich mit einem Server zu verbinden und diesen aus der Ferne zu steuern.

“Es ist auffällig, dass die kanadische und saudische Regierung berichten, dass zu Beginn eines Angriffs China Chopper installiert wird”, sagte Chris Doman, Sicherheitsforscher des zu AT&T gehörenden Alien Vault Labs, im Gespräch mit ZDNet.com.

Laut der kanadischen Behörde zählen Unternehmen in den Bereichen Forschung, Energieversorgung, Schwerindustrie, Produktion und Technologie zu den Opfern. Welche Unternehmen in Saudi Arabien angegriffen wurden, ließ die dortige Behörde indes offen. Ihr zufolge begannen die Attacken vor rund zwei Wochen, also unmittelbar nach der Veröffentlichung der kanadischen Sicherheitswarnung.

Doman zufolge ist die Nutzung der Web Shell China Chopper jedoch kein Indiz für einen Zusammenhang zwischen den Einbrüchen in SharePoint-Server in Kanada und Saudi Arabien. Auch eine von einem anderen Sicherheitsforscher aufgestellte Verbindung zur FIN7-Hackergruppe hält Doman für unwahrscheinlich, weil eine bei den SharePoint-Angriffen benutzte IP-Adresse schon früher von anderen Gruppen als FIN7 verwendet wurde.

Lesen Sie auch :