Сервери Microsoft SharePoint знаходяться під постійними атаками

12:27
Сервери Microsoft SharePoint знаходяться під постійними атаками

    ІБ-експерти з Канади та Саудівської Аравії попередили про кібератаки на сервери Microsoft SharePoint, які тривають протягом вже понад два тижні. В ході атак зловмисники експлуатують відому уразливість CVE-2019-0604.

   Згідно з повідомленням безпеки Microsoft, вразливість дозволяє виконати довільний код у контексті пулу додатки SharePoint і облікового запису сервера SharePoint. Компанія виправила CVE-2019-0604 з виходом патчів в лютому, березні і квітні нинішнього року. 

  Демо-експлоїт для уразливості був опублікований дослідником безпеки Маркусом Вольфгангом (Markus Wulftange) який виявив його в березні, але незабаром на GitHub і Pastebin стали з'являтися PoC-коди від інших розробників.

   Атаки не змусили себе довго чекати — перші з них були зафіксовані вже в кінці квітня. Центр кібербезпеки Канади (Canadian Centre for Cyber Security) опублікував своє попередження в минулому місяці, а минулого тижня з'явилося ще одне, на цей раз від Національного центру кібербезпеки Саудівської Аравії (NCSC).

  Згідно з повідомленнями обох організацій, кіберзлочинці зламують сервери SharePoint і встановлюють на них варіант шкідливого ПЗ China Chopper. Програма являє собою web-оболонку, що дозволяє зловмисникам підключатися до зламаного сервера і запускати різні команди.

   Експертам важко сказати, хто стоїть за атаками. Як повідомляє Центр кібербезпеки Канади, «довірені дослідники виявили скомпрометовані системи, що належать науковим організаціям, а також підприємствам комунального господарства, важкої промисловості, виробничого і технологічного секторів». NCSC не повідомляє, хто став жертвою атак, проте відомо, що це організація з Саудівської Аравії.

   На перший погляд атаки можуть здатися пов'язаними між собою, але це не обов'язково так. China Chopper — дуже поширене шкідливе ПЗ і, попри назву, активно використовується кіберзлочинцями по всьому світу. За словами дослідника безпеки Кріса Домана (Chris Doman), одне з тих що використовувалося в атаках IP-адрес раніше вже було помічено в арсеналі угруповання FIN7.

  Щоб уникнути атак рекомендується встановити на сервери SharePoint останні оновлення безпеки. Якщо установка патчів неможлива, сервери потрібно захистити за допомогою брандмауера.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.