Sicherheitsbehörden warnen vor Angriffen auf SharePoint Server

Hackergruppen nehmen offenbar verstärkt SharePoint-Server ins Visier, um eine kürzlich gepatchte Schwachstelle auszunutzen und in Netzwerke von Unternehmen und Regierungen einzudringen. Darauf weisen derzeit kanadische und saudi-arabische Cybersicherheitsbehörden hin.

Angegriffen wird die Anfälligkeit mit der Kennung CVE-2019-0604, für die Microsoft in den Monaten Februar, März und April Patches bereitgestellt hat. „Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code im Kontext des SharePoint-Anwendungspools und des SharePoint-Serverfarmkontos ausführen“, teilte das Unternehmen mit. „Die Ausnutzung dieser Sicherheitsanfälligkeit erfordert, dass ein Benutzer ein speziell gestaltetes SharePoint-Anwendungspaket auf eine betroffene SharePoint-Version hochlädt.“

Microsoft bewertet die Lücke als kritisch. Sie steckt in SharePoint Enterprise Server 2016, SharePoint Foundation 2010 Service Pack 2, SharePoint Foundation 2013 Service Pack 1, SharePoint Server 2010 Service Pack 2, SharePoint Server 2013 Service Pack 1 und SharePoint Server 2019.

Bereits im März veröffentlichte der Sicherheitsforscher Markus Wulftange, der den Bug auch entdeckte, Beispielcode für einen Exploit. Weitere Proof-of-Concept tauchten anschließend auf GitHub und Pastebin auf. Kurz darauf begannen dann auch die ersten Attacken.

Das Canadian Centre for Cyber Security reagierte schon im April mit seiner Sicherheitswarnung. In der vergangenen Woche veröffentlichte dann auch das Saudi National Cyber Security Center eine Warnmeldung. Beide Behörden berichten von Fällen, in den Angreifer die Kontrolle über SharePoint-Server übernahmen und eine Version der Web Shell China Chopper einschleusten. Diese Malware erlaubt es Hackern, sich mit einem Server zu verbinden und diesen aus der Ferne zu steuern.

„Es ist auffällig, dass die kanadische und saudische Regierung berichten, dass zu Beginn eines Angriffs China Chopper installiert wird“, sagte Chris Doman, Sicherheitsforscher des zu AT&T gehörenden Alien Vault Labs, im Gespräch mit ZDNet.com.

Laut der kanadischen Behörde zählen Unternehmen in den Bereichen Forschung, Energieversorgung, Schwerindustrie, Produktion und Technologie zu den Opfern. Welche Unternehmen in Saudi Arabien angegriffen wurden, ließ die dortige Behörde indes offen. Ihr zufolge begannen die Attacken vor rund zwei Wochen, also unmittelbar nach der Veröffentlichung der kanadischen Sicherheitswarnung.

Doman zufolge ist die Nutzung der Web Shell China Chopper jedoch kein Indiz für einen Zusammenhang zwischen den Einbrüchen in SharePoint-Server in Kanada und Saudi Arabien. Auch eine von einem anderen Sicherheitsforscher aufgestellte Verbindung zur FIN7-Hackergruppe hält Doman für unwahrscheinlich, weil eine bei den SharePoint-Angriffen benutzte IP-Adresse schon früher von anderen Gruppen als FIN7 verwendet wurde.

Unternehmen, die SharePoint-Produkte einsetzen, sollten die verfügbaren Patches nun zeitnah installieren. Sollte es nicht möglich sein, die Updates einzuspielen, sollte der Zugang zu den SharePoint-Servern auf interne Netzwerke beschränkt werden.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

NetWalker: Ransomware-Gang erlöst seit März rund 25 Millionen Dollar

McAfee verfolgt die Aktivitäten von Bitcoin-Adressen, die zu NetWalker gehören. Die Ransomware ist erst seit…

1 Stunde ago

Firefox 81: Mozilla integriert neue PDF-Funktionen in seinen Browser

Der integrierte PDF-Reader unterstützt künftig das Ausfüllen von Formularen. Die Entwickler überarbeiten auch die Oberfläche…

3 Stunden ago

Siri-Patente: Chinesisches Unternehmen fordert von Apple 1,4 Milliarden Dollar Schadensersatz

Es geht um ein 2009 gewährtes Schutzrecht. Apple scheitert mit dem Versuch, das Patent für…

4 Stunden ago

Google-Statistik: In Microsoft-Produkten stecken die meisten Zero-Day-Lücken

Das gilt zumindest für das Jahr 2019. Google räumt aber ein, dass es für Windows…

19 Stunden ago

Microsoft stellt Support für mobile Cortana-Apps ein

Nutzer bleibt künftig nur die Cortana-Integration in Outlook Mobile. Microsoft empfiehlt als Alternative die Cortana-App…

21 Stunden ago

Google stellt Chrome-Erweiterung für transparentere Online-Anzeigen vor

Die Ads Transparency Spotlight genannte Erweiterung liefert Daten zu Werbeplattformen, Anzeigen und weiteren an einer…

23 Stunden ago