加拿大和沙特阿拉伯网络安全机构最近发布安全公告指出,多个黑客组织正在攻击微软 SharePoint 服务器,目的是利用一个最近修复的漏洞以获取对企业和政府网络的访问权限。
这个遭利用的安全缺陷是 CVE-2019-0604,微软在今年的2月份、3月份和4月份发布的安全更新中修复了该漏洞。
微软当时指出,“攻击者如成功利用该漏洞,可在 SharePoint 应用池和 SharePoint 服务器农场账户的上下文中执行任意代码。”
攻击始于4月末
3月,发现该漏洞的研究员 Markus Wulftange 发布了该漏洞的演示利用代码,但其它 PoC 也出现在 GitHub 和 Pastebin 上。
之后不久的4月末,攻击开始。加拿大网络安全中心率先在上个月发出警告,而沙特国家网络安全中心 (NCSC) 上周再次发出警告。
这两个网络安全机构均表示,发现多起攻击接管SharePoint 服务器并插入 China Chopper(“中国菜刀”)web shell 版本。这种恶意软件被安装在服务器上之后可导致黑客能够连接到服务器并发布多种命令。
AT&T 公司 Alien Vault 实验室的安全研究员 Chris Doman 表示,“加拿大和沙特政府机构均在入侵开始之时发现 China Chopper 很耐人寻味。”这两家网络安全机构表示,“可信任的研究员发现,被攻陷的系统遍布学术界、公共行业、重工行业、制造业和技术行业。”
另外,沙特政府机构并未透露攻击者的身份,不过发布了其中一个受害者网络的事后分析,说明了攻击者如何使用“PowerShell脚本获取更多的访问权限并在网络中进行内部侦察。”它们还指出,运行 SharePoint 团队协作服务器的沙特组织机构已遭受长达约两个星期的攻击,和加拿大网络安全中心发出警告的时间相符。
这些攻击之间存在关联吗?
虽然这似乎说明这些攻击之间存在关联,但目前存在的证据并不支持这一理论。
Doman 表示,“加拿大和沙特机构均提到了 China Chopper web shell,但这很常见。虽然名称中包含‘中国’,但源自数个区域的攻击都在使用它。”
另外,一名研究人员在推特上表示,针对 SharePoint 服务器的攻击牵涉的其中一个 IP 地址也由 FIN7 网络犯罪组织所使用,该组织的攻击目标向来是金融行业。
然而,Doman 并不认为 FIN7 组织就是攻击微软 SharePoint 服务器的组织,至少目前并非如此。他指出,“FIN7 组织曾在几个月前使用过这个 IP 地址,我尚未发现它发动的其它恶意活动。它并非一种常被滥用的 IP 如 VPN 或免费的 web-host 等。同时,它本身是一种相当薄弱的连接。”
打补丁或安装防火墙
攻击正在继续,建议运行 SharePoint 服务器的企业将系统更新至最新状态以缓解威胁。
CVE-2019-0604 影响大量最新发布的 SharePoint 版本,如:
微软 SharePoint Enterprise Server 2016
微软 SharePoint Foundation 2013 SP1
微软 SharePoint Server 2010 SP2
微软 SharePoint Server 2019
如无法修复,建议通过防火墙保护易受攻击的 SharePoint 服务器,仅供内部网络访问。服务器虽然仍然易受攻击,但至少不会成为黑客入侵企业网络的网关。
https://www.zdnet.com/article/microsoft-sharepoint-servers-are-under-attack/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
