Sicherheitsbehörden warnen vor Angriffen auf SharePoint Server

Hackergruppen nehmen offenbar verstärkt SharePoint-Server ins Visier, um eine kürzlich gepatchte Schwachstelle auszunutzen und in Netzwerke von Unternehmen und Regierungen einzudringen. Darauf weisen derzeit kanadische und saudi-arabische Cybersicherheitsbehörden hin.

Angegriffen wird die Anfälligkeit mit der Kennung CVE-2019-0604, für die Microsoft in den Monaten Februar, März und April Patches bereitgestellt hat. „Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code im Kontext des SharePoint-Anwendungspools und des SharePoint-Serverfarmkontos ausführen“, teilte das Unternehmen mit. „Die Ausnutzung dieser Sicherheitsanfälligkeit erfordert, dass ein Benutzer ein speziell gestaltetes SharePoint-Anwendungspaket auf eine betroffene SharePoint-Version hochlädt.“

Microsoft bewertet die Lücke als kritisch. Sie steckt in SharePoint Enterprise Server 2016, SharePoint Foundation 2010 Service Pack 2, SharePoint Foundation 2013 Service Pack 1, SharePoint Server 2010 Service Pack 2, SharePoint Server 2013 Service Pack 1 und SharePoint Server 2019.

Bereits im März veröffentlichte der Sicherheitsforscher Markus Wulftange, der den Bug auch entdeckte, Beispielcode für einen Exploit. Weitere Proof-of-Concept tauchten anschließend auf GitHub und Pastebin auf. Kurz darauf begannen dann auch die ersten Attacken.

Das Canadian Centre for Cyber Security reagierte schon im April mit seiner Sicherheitswarnung. In der vergangenen Woche veröffentlichte dann auch das Saudi National Cyber Security Center eine Warnmeldung. Beide Behörden berichten von Fällen, in den Angreifer die Kontrolle über SharePoint-Server übernahmen und eine Version der Web Shell China Chopper einschleusten. Diese Malware erlaubt es Hackern, sich mit einem Server zu verbinden und diesen aus der Ferne zu steuern.

„Es ist auffällig, dass die kanadische und saudische Regierung berichten, dass zu Beginn eines Angriffs China Chopper installiert wird“, sagte Chris Doman, Sicherheitsforscher des zu AT&T gehörenden Alien Vault Labs, im Gespräch mit ZDNet.com.

Laut der kanadischen Behörde zählen Unternehmen in den Bereichen Forschung, Energieversorgung, Schwerindustrie, Produktion und Technologie zu den Opfern. Welche Unternehmen in Saudi Arabien angegriffen wurden, ließ die dortige Behörde indes offen. Ihr zufolge begannen die Attacken vor rund zwei Wochen, also unmittelbar nach der Veröffentlichung der kanadischen Sicherheitswarnung.

Doman zufolge ist die Nutzung der Web Shell China Chopper jedoch kein Indiz für einen Zusammenhang zwischen den Einbrüchen in SharePoint-Server in Kanada und Saudi Arabien. Auch eine von einem anderen Sicherheitsforscher aufgestellte Verbindung zur FIN7-Hackergruppe hält Doman für unwahrscheinlich, weil eine bei den SharePoint-Angriffen benutzte IP-Adresse schon früher von anderen Gruppen als FIN7 verwendet wurde.

Unternehmen, die SharePoint-Produkte einsetzen, sollten die verfügbaren Patches nun zeitnah installieren. Sollte es nicht möglich sein, die Updates einzuspielen, sollte der Zugang zu den SharePoint-Servern auf interne Netzwerke beschränkt werden.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

GandCrab ist häufigste Ransomware

Die GandCrab Ransomware war 2020 die am häufigsten eingesetzte Erpresser-Software, während sich 2021 eher Babuk…

2 Tagen ago

Geld weg statt Liebe: iPhone-Krypto-Betrug eskaliert auch in Europa

1,2 Millionen Euro-Beute in nur einem Wallet entdeckt. Cyberganster nehmen vermehrt europäische und amerikanische Nutzer…

3 Tagen ago

Check Point verhindert Diebstahl von Krypto-Wallets

Die Sicherheitsforscher von Check Point Research entdeckten eine Schwachstelle im größten NFT-Online-Marktplatz Open Sea und…

3 Tagen ago

Trickbot gefährlichste Malware

Laut dem Check Point Research (CPR) Global Threat Index für September 2021 übernimmt Trickbot die…

4 Tagen ago

5G-Transformation – Chancen und Herausforderungen

Wie Unternehmen von der 5G Technologie profitieren und warum eine Multi-Cloud-Strategie sinnvoll ist, schildert David…

5 Tagen ago

ONLYOFFICE: Projektmanagement von unterwegs mit neuer Projects-App für Android, neue Features für bessere mobile Dokumentenbearbeitung auf iOS & Android

Spannende Neuigkeiten an der Mobile-Front von ONLYOFFICE! Die Open-Source-Plattform hat ihre mobile Projektmanagement-App “ONLYOFFICE Projects”-App…

5 Tagen ago