Hackers atacando servidores do Microsoft SharePoint

Publicado por Igor Matsunaga em

SharePoint

Os hackers estão explorando ativamente uma vulnerabilidade crítica de execução remota de código recentemente corrigida nas versões do SharePoint Server para injetar o shell web do China Chopper, que permite que hackers injetem e emitam vários comandos.

A segurança cibernética canadense e da Arábia Saudita aumentou a conscientização sobre o ataque em andamento visando os sistemas desatualizados.

A vulnerabilidade afeta todas as versões do SharePoint Server 2010 até o SharePoint Server 2019, e a vulnerabilidade pode ser rastreada como CVE-2019-0604, foi corrigida pela Microsoft em fevereiro, lançou atualizações de segurança em 12 de março e novamente em 25 de abril.

“Um invasor que explora a vulnerabilidade pode executar código arbitrário no contexto do pool de aplicativos do SharePoint e da conta do farm de servidores do SharePoint. A exploração desta vulnerabilidade requer um pacote de aplicativos especialmente criado do SharePoint . ”

Neste caso, os atacantes usaram o shell web China Chopper para acessar os servidores comprometidos remotamente e para emitir comandos e gerenciar arquivos no servidor vítima.

O SharePoint CVE-2019-0604 agora está sendo explorado em estado selvagem – relatórios da Saudi ( https://t.co/m6VmF7n2Js ) e do Canadá ( https://t.co/yhzY8qgxi8 ) Centros Nacionais de Cibersegurança. Alguns IOCs adicionais @ https://t.co/gsGOoh6h9r pic.twitter.com/70LQCOmuTn

– chris doman (@chrisdoman) 9 de maio de 2019

De acordo com agências de segurança cibernética, as indústrias-alvo são os setores acadêmico, de serviços públicos, indústria pesada, manufatura e tecnologia.

Mitigações

A organização que executa servidores de ponto de compartilhamento recomendou a atualização dos servidores para abordar a vulnerabilidade.

Indicadores de compromisso

SHA256 hash
05108ac3c3d708977f2d679bfa6d2eaf63b371e66428018a68efce4b6a45b4b4 
b560c3b9b672f42a005bdeae79eb91dfb0dec8dc04bea51f38731692bc995688 
7d6812947e7eafa8a4cce84b531f8077f7434dbed4ccdaca64225d1b6a0e8604 
2e4b7c022329e5c21e47d55e8916f6af852aabbbd1798f9e16985f22a8056646 
c63f425d96365d906604b1529611eefe5524432545a7977ebe2ac8c79f90ad7e 
hash SHA1
f0fb0f7553390f203669e53abc16b15e729e5c6f 
ee583451c832b07d8f2b4d6b8dd36ccb280ff421 
dc8e7b7de41cac9ded920c41b272c885e1aec279 
4c3b262b4134366ad0a67b1a2d6378da428d712b 
MD5 Hash
0eebeef32a8f676a1717f134f114c8bd 
198ee041e8f3eb12a19bc321f86ccb88 
708544104809ef2776ddc56e04d27ab1 
b814532d73c7e5ffd1a2533adc6cfcf8
Filename
pague [.] 
Aspx stylecss [.] Aspx 
Endereço IP
114.25.219.100

Que a segurança esteja com você!

Fonte: gbhackers


Igor Matsunaga

Diretor Técnico da NSWorld, entusiasta da área hacking, desenvolvedor hacker ético, formado em Segurança da Informação.

0 comentário

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *