Sicherheitsbehörden warnen vor Angriffen auf SharePoint Server

Hackergruppen nehmen offenbar verstärkt SharePoint-Server ins Visier, um eine kürzlich gepatchte Schwachstelle auszunutzen und in Netzwerke von Unternehmen und Regierungen einzudringen. Darauf weisen derzeit kanadische und saudi-arabische Cybersicherheitsbehörden hin.

Angegriffen wird die Anfälligkeit mit der Kennung CVE-2019-0604, für die Microsoft in den Monaten Februar, März und April Patches bereitgestellt hat. „Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code im Kontext des SharePoint-Anwendungspools und des SharePoint-Serverfarmkontos ausführen“, teilte das Unternehmen mit. „Die Ausnutzung dieser Sicherheitsanfälligkeit erfordert, dass ein Benutzer ein speziell gestaltetes SharePoint-Anwendungspaket auf eine betroffene SharePoint-Version hochlädt.“

Microsoft bewertet die Lücke als kritisch. Sie steckt in SharePoint Enterprise Server 2016, SharePoint Foundation 2010 Service Pack 2, SharePoint Foundation 2013 Service Pack 1, SharePoint Server 2010 Service Pack 2, SharePoint Server 2013 Service Pack 1 und SharePoint Server 2019.

Bereits im März veröffentlichte der Sicherheitsforscher Markus Wulftange, der den Bug auch entdeckte, Beispielcode für einen Exploit. Weitere Proof-of-Concept tauchten anschließend auf GitHub und Pastebin auf. Kurz darauf begannen dann auch die ersten Attacken.

Das Canadian Centre for Cyber Security reagierte schon im April mit seiner Sicherheitswarnung. In der vergangenen Woche veröffentlichte dann auch das Saudi National Cyber Security Center eine Warnmeldung. Beide Behörden berichten von Fällen, in den Angreifer die Kontrolle über SharePoint-Server übernahmen und eine Version der Web Shell China Chopper einschleusten. Diese Malware erlaubt es Hackern, sich mit einem Server zu verbinden und diesen aus der Ferne zu steuern.

„Es ist auffällig, dass die kanadische und saudische Regierung berichten, dass zu Beginn eines Angriffs China Chopper installiert wird“, sagte Chris Doman, Sicherheitsforscher des zu AT&T gehörenden Alien Vault Labs, im Gespräch mit ZDNet.com.

Laut der kanadischen Behörde zählen Unternehmen in den Bereichen Forschung, Energieversorgung, Schwerindustrie, Produktion und Technologie zu den Opfern. Welche Unternehmen in Saudi Arabien angegriffen wurden, ließ die dortige Behörde indes offen. Ihr zufolge begannen die Attacken vor rund zwei Wochen, also unmittelbar nach der Veröffentlichung der kanadischen Sicherheitswarnung.

Doman zufolge ist die Nutzung der Web Shell China Chopper jedoch kein Indiz für einen Zusammenhang zwischen den Einbrüchen in SharePoint-Server in Kanada und Saudi Arabien. Auch eine von einem anderen Sicherheitsforscher aufgestellte Verbindung zur FIN7-Hackergruppe hält Doman für unwahrscheinlich, weil eine bei den SharePoint-Angriffen benutzte IP-Adresse schon früher von anderen Gruppen als FIN7 verwendet wurde.

Unternehmen, die SharePoint-Produkte einsetzen, sollten die verfügbaren Patches nun zeitnah installieren. Sollte es nicht möglich sein, die Updates einzuspielen, sollte der Zugang zu den SharePoint-Servern auf interne Netzwerke beschränkt werden.