Mistake de SharePoint prueba arma well known para …



Miles de servidores podrían estar expuestos a la vulnerabilidad de SharePoint CVE-2019-0604, utilizada recientemente en ataques cibernéticos contra objetivos del gobierno de Oriente Medio.

Los investigadores han detectado múltiples instancias de ciberatacantes que utilizan la vulnerabilidad de SharePoint CVE-2019-0604 para apuntar a organizaciones gubernamentales en el Medio Oriente. Estos marcan los últimos casos de adversarios que explotan la falla, que se utilizó recientemente para violar las Naciones Unidas.

CVE-2019-0604 existe cuando SharePoint no puede verificar el marcado de origen de un paquete de aplicación. Los atacantes podrían explotar esto cargando un paquete de aplicación de SharePoint especialmente diseñado en una versión afectada del software package. Si tienen éxito, podrían ejecutar código arbitrario en el contexto del grupo de aplicaciones de SharePoint y la cuenta de la granja de servidores de SharePoint.

Microsoft lanzó un parche para la vulnerabilidad en febrero de 2019 y luego actualizó su corrección en abril. Poco después, surgieron informes que indicaban que la falla de ejecución remota de código estaba bajo ataque activo. Una serie de incidentes utilizaron el shell website de China Chopper para ingresar a un objetivo La evidencia muestra que los atacantes utilizaron el shell net para obtener acceso a la red en varias organizaciones.

Nuevos hallazgos de la Unidad 42 de Palo Alto Networks sugieren que la vulnerabilidad sigue siendo popular entre los atacantes. En septiembre de 2019, los investigadores detectaron actores de amenazas desconocidos que explotaban la falla para instalar varios shells website en el sitio world-wide-web de una organización gubernamental de Medio Oriente. Uno de ellos fue AntSword, un shell net disponible gratuitamente en GitHub que se asemeja a China Chopper.

Los atacantes utilizaron estos shells world-wide-web para moverse lateralmente a través de la red para acceder a otros sistemas, explica Robert Falcone, analista de inteligencia sobre amenazas cibernéticas. entrada en el web site sobre los hallazgos. Emplearon una variante Mimikatz personalizada para volcar las credenciales de la memoria y la herramienta atexec de Impacket para usar credenciales volcadas para ejecutar comandos en otros sistemas en toda la red.

Más tarde, en septiembre, la Unidad 42 vio esta misma variante de Mimikatz cargada en un shell world-wide-web alojado en otra organización gubernamental en un segundo país del Medio Oriente. Esta variante es única, escribe Falcone, ya que tiene una aplicación de cargador supuestamente personalizada escrita en .Web. Debido a esto, los investigadores creen que el mismo grupo está detrás de las brechas en ambas organizaciones gubernamentales.

Esta no es la primera vez que la Unidad 42 ve a CVE-2019-0604 utilizado contra objetivos del gobierno en el Medio Oriente. En abril de 2019 los investigadores vieron el grupo de amenaza Emissary Panda explota esta falla para instalar shells website en servidores de SharePoint en organizaciones gubernamentales en dos países de Medio Oriente, ambos diferentes de las naciones atacadas en los ataques de enero. No existen vínculos fuertes que los unan, aparte de una vulnerabilidad común, un conjunto de herramientas comparable y las víctimas del gobierno.

«La explotación de esta vulnerabilidad no es exclusiva de Emissary Panda, ya que varios grupos de amenazas están utilizando esta vulnerabilidad para explotar los servidores de SharePoint para obtener acceso inicial a las redes específicas», escribe Falcone. Existe la posibilidad de superposición en el uso de AntSword, ya que Emissary Panda usó China Chopper y los dos son «increíblemente similares», explica, pero los investigadores no creen que los atacantes detrás de los ataques de abril de 2019 hayan aprovechado AntSword.

CVE-2019-0604 apareció en un reciente ataque contra las Naciones Unidas durante el cual intrusos comprometieron servidores en las oficinas de la ONU en Ginebra y Viena. Los atacantes accedieron a Directorios Activos, probablemente comprometiendo los recursos humanos y los datos de la pink. No está claro exactamente qué archivos fueron robados en la violación. Un funcionario de TI de la ONU estima que se descargaron unos 400 GB de archivos.

A principios de enero de 2020, los investigadores de la Unidad 42 utilizaron Shodan para buscar servidores con acceso a World-wide-web que ejecuten versiones de SharePoint expuestas a CVE-2019-0604. Sus hallazgos mostraron que 28,881 servidores anunciaron una versión vulnerable del computer software. No revisaron cada servidor para verificar su exposición, por lo que es posible que muchos servidores públicos no estén expuestos o hayan sido parcheados.

«De todos modos, la gran cantidad de servidores y el código de explotación disponible públicamente sugiere que CVE-2019-0604 sigue siendo un vector de ataque importante», escribe Falcone.

Contenido relacionado:

Kelly Sheridan es la Editora de individual de Dim Looking through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance policy & Technology, donde cubrió asuntos financieros … Ver biografía completa

Más strategies





Enlace a la noticia unique