13/05/19
ИБ-эксперты из Канады и Саудовской Аравии предупредили о кибератаках на серверы Microsoft SharePoint, продолжающихся в течение уже более двух недель. В ходе атак злоумышленники эксплуатируют известную уязвимость CVE-2019-0604 .
Согласно уведомлению безопасности Microsoft, уязвимость позволяет выполнить произвольный код в контексте пула приложения SharePoint и учетной записи сервера SharePoint. Компания исправила CVE-2019-0604 с выходом патчей в феврале, марте и апреле нынешнего года.
Демо-эксплоит для уязвимости был опубликован обнаружившим ее исследователем безопасности Маркусом Вульфтанге (Markus Wulftange) в марте, но вскоре на GitHub и Pastebin стали появляться PoC-коды и от других разработчиков.
Атаки не заставили себя долго ждать – первые из них были зафиксированы уже в конце апреля. Центр кибербезопасности Канады (Canadian Centre for Cyber Security) опубликовал свое предупреждение в прошлом месяце, а на прошлой неделе появилось еще одно, на этот раз от Национального центра кибербезопасности Саудовской Аравии (NCSC).
Согласно сообщениям обеих организаций, киберпреступники взламывают серверы SharePoint и устанавливают на них вариант вредоносного ПО China Chopper. Программа представляет собой web-оболочку, позволяющую злоумышленникам подключаться к взломанному серверу и запускать различные команды.
Эксперты затрудняются сказать, кто стоит за атаками. Как сообщает Центр кибербезопасности Канады, «доверенные исследователи обнаружили скомпрометированные системы, принадлежащие научным организациям, а также предприятиям коммунального хозяйства, тяжелой промышленности, производственного и технологического секторов». NCSC не сообщает, кто стал жертвой атак, однако известно, что им является организация из Саудовской Аравии.
На первый взгляд атаки могут показаться связанными между собой, но это не обязательно так. China Chopper – очень распространенное вредоносное ПО и, несмотря на название, активно используется киберпреступниками по всему миру. По словам исследователя безопасности Криса Домана (Chris Doman), один из использовавшихся в атаках IP-адресов ранее уже был замечен в арсенале группировки FIN7.
Во избежание атак рекомендуется установить на серверы SharePoint последние обновления безопасности. Если установка патчей невозможна, серверы нужно защитить с помощью межсетевого экрана.
