03/02/20
Десятки принадлежащих ООН серверов были скомпрометированы через известную уязвимость в SharePoint. Об этом сообщается в конфиденциальном отчете, с которым ознакомился известный ИБ-эксперт Кевин Бомон (Kevin Beaumont).
По словам Бомона, точкой входа для кибератаки стала уязвимость CVE-2019-0604 в платформе для совместной работы SharePoint от Microsoft. Уязвимость позволяет выполнить произвольный код в контексте пула приложения SharePoint и учетной записи сервера SharePoint. Microsoft выпустила исправления для нее в феврале, марте и апреле прошлого года.
Первый PoC-эксплоит для уязвимости был опубликован обнаружившим ее исследователем безопасности Маркусом Вульфтанге (Markus Wulftange) в марте 2019 года, и вскоре в Сети стали появляться эксплоиты от других разработчиков. В мае того же года ИБ-эксперты зафиксировали массовые атаки на серверы SharePoint.
Атаки на гуманитарные организации ООН в Женеве и Вене имели место в середине июля, но были обнаружены лишь спустя месяц. Руководство приняло решение не сообщать сотрудникам о компрометации их данных и лишь попросило сменить пароли. Об атаке было известно только служащим IT-отделов и руководителям гуманитарных организаций ООН. Широкой общественности о случившемся стало известно лишь на этой неделе.
Через уязвимую установку SharePoint злоумышленники проникли в компьютерные сети организаций ООН в Вене, а затем, вооружившись привилегиями администратора и перемещаясь по сети, получили доступ к системам в организациях в Женеве.
