[English]Kurze Meldung zum Wochenanfang für Administratoren von SharePoint-Servern. Eine Schwachstelle CVE-2019-0604 wird inzwischen 'in the wild' ausgenutzt, um ungepatchte Systeme anzugreifen.
Anzeige
SharePoint wird angegriffen
Ich bin bereits am Samstag über einen Tweet von Kevin Beaumont (@GossiTheDog) gestolpert, der das Thema öffentlich machte.
CVE-2019-0604 is being exploited in the wild It's a web based remote code execution vuln without need for authentication, plus Microsoft had to reissue the patch later as the first one didn't fix the vulnerability – so lots of places are exposed. https://t.co/qBDxwyJWi4
— Kevin Beaumont ♀️ (@GossiTheDog) 10. Mai 2019
Woody Leonhard hat es hier aufgegriffen. Zudem findet sich hier ein entsprechender Hinweis. Laut einer Meldung von Sicherheitsforschern der AT&T Alien Labs versuchen Bedrohungsakteure aktuell, die Microsoft Sharepoint-Schwachstelle CVE-2019-0604 bei Angriffen in freier Wildbahn auszunutzen. Die Webseite Security Affairs schreibt hier:
AlienLabs has seen a number of reports related to the active exploitation of the CVE-2019-0604 vulnerability in Microsoft Sharepoint.
Die Sicherheitsforscher der AT&T Alien Labs berichteten von Angriffen gegen Organisationen in Saudi-Arabien und Kanada. Ein Bericht, basierend auf Hinweisen des Saudi Cyber Security Centre, legt nahe, dass Bedrohungsakteure in erster Linie Organisationen innerhalb des Königreichs ins Visier nehmen. Das Canadian Cyber Security Centre berichtete (siehe) von ähnlichen Angriffen, die darauf abzielten, die China Chopper Web-Shell bereitzustellen, um die Persistenz in den Zielnetzen sicherzustellen. Das Sicherheitsunternehmen schreibt in einem kurzen Bericht:
"AlienLabs has identified malware ) that is likely an earlier version of the second-stage malware deployed in the Saudi Intrusions. This malware sample was shared by a target in China."
Die Malware unterstützt mehrere Befehle, einschließlich des Herunterladens und Hochladens von Dateien samt Ausführen von Befehlen von der Webadresse http[ :// ]$SERVER/Temporary_Listen_Addresses/SMSSERVICE.
Die Schwachstelle CVE-2019 in SharePoint
Die Schwachstelle wurde hier von der Zero Point Initiative beschrieben. Microsoft hat die Schwachstelle CVE-2019 in SharePoint bereits im Februar 2019 beschrieben.
A remote code execution vulnerability exists in Microsoft SharePoint when the software fails to check the source markup of an application package. An attacker who successfully exploited the vulnerability could run arbitrary code in the context of the SharePoint application pool and the SharePoint server farm account.
Exploitation of this vulnerability requires that a user uploads a specially crafted SharePoint application package to an affected versions of SharePoint.
The security update addresses the vulnerability by correcting how SharePoint checks the source markup of application packages.
Es handelt sich um eine Remote Execution Schwachstelle, die durch Angreifer ausgenutzt werden kann, um Schadcode unter dem Kontext der SharePoint-Anwendungen auszuführen. Auf dieser Webseite stehen seit Februar 2019 Updates für die diversen SharePoint-Produkte zur Verfügung.
Anzeige
2015
