Hackergruppen nehmen offenbar verstärkt SharePoint-Server ins Visier, um eine kürzlich gepatchte Schwachstelle auszunutzen und in Netzwerke von Unternehmen und Regierungen einzudringen. Darauf weisen derzeit kanadische und saudi-arabische Cybersicherheitsbehörden hin.
Microsoft bewertet die Lücke als kritisch. Sie steckt in SharePoint Enterprise Server 2016, SharePoint Foundation 2010 Service Pack 2, SharePoint Foundation 2013 Service Pack 1, SharePoint Server 2010 Service Pack 2, SharePoint Server 2013 Service Pack 1 und SharePoint Server 2019.
Bereits im März veröffentlichte der Sicherheitsforscher Markus Wulftange, der den Bug auch entdeckte, Beispielcode für einen Exploit. Weitere Proof-of-Concept tauchten anschließend auf GitHub und Pastebin auf. Kurz darauf begannen dann auch die ersten Attacken.
Das Canadian Centre for Cyber Security reagierte schon im April mit seiner Sicherheitswarnung. In der vergangenen Woche veröffentlichte dann auch das Saudi National Cyber Security Center eine Warnmeldung. Beide Behörden berichten von Fällen, in den Angreifer die Kontrolle über SharePoint-Server übernahmen und eine Version der Web Shell China Chopper einschleusten. Diese Malware erlaubt es Hackern, sich mit einem Server zu verbinden und diesen aus der Ferne zu steuern.
„Es ist auffällig, dass die kanadische und saudische Regierung berichten, dass zu Beginn eines Angriffs China Chopper installiert wird“, sagte Chris Doman, Sicherheitsforscher des zu AT&T gehörenden Alien Vault Labs, im Gespräch mit ZDNet.com.
Laut der kanadischen Behörde zählen Unternehmen in den Bereichen Forschung, Energieversorgung, Schwerindustrie, Produktion und Technologie zu den Opfern. Welche Unternehmen in Saudi Arabien angegriffen wurden, ließ die dortige Behörde indes offen. Ihr zufolge begannen die Attacken vor rund zwei Wochen, also unmittelbar nach der Veröffentlichung der kanadischen Sicherheitswarnung.
Doman zufolge ist die Nutzung der Web Shell China Chopper jedoch kein Indiz für einen Zusammenhang zwischen den Einbrüchen in SharePoint-Server in Kanada und Saudi Arabien. Auch eine von einem anderen Sicherheitsforscher aufgestellte Verbindung zur FIN7-Hackergruppe hält Doman für unwahrscheinlich, weil eine bei den SharePoint-Angriffen benutzte IP-Adresse schon früher von anderen Gruppen als FIN7 verwendet wurde.
Unternehmen, die SharePoint-Produkte einsetzen, sollten die verfügbaren Patches nun zeitnah installieren. Sollte es nicht möglich sein, die Updates einzuspielen, sollte der Zugang zu den SharePoint-Servern auf interne Netzwerke beschränkt werden.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…