سوءاستفاده‌ی گسترده از آسیب‌پذیری CVE-2019-0604 در SharePoint مایکروسافت

سوءاستفاده‌ی گسترده از آسیب‌پذیری CVE-2019-0604 در SharePoint مایکروسافت

تاریخ ایجاد

محققین Alien Labs گزارش‌هایی مبنی بر سوءاستفاده‌ی فعال از #‫آسیب‌پذیری CVE-2019-0604 در Microsoft SharePoint دریافت کرده‌اند.
آسیب‌پذیری CVE-2019-0604 یک نقص اجرای کد راه‌دور است که در نتیجه‌ی شکست SharePoint در بررسی نشان‌گذاری منبع بسته‌ی برنامه‌ی کاربردی ایجاد می‌شود. یک مهاجم می‌تواند از این نقص از طریق آپلود بسته‌ی برنامه کاربردی Sharepoint ساختگی خاص به نسخه‌های متأثر این نرم‌افزار، سوءاستفاده کند. سوءاستفاده‌ی موفق از این آسیب‌پذیری به مهاجم اجازه می‌دهد کد دلخواه را در متن حساب کاربری برنامه‌ی کاربردی SharePoint و کارگزار SharePoint اجرا کند.
محققین آزمایشگاهAT&T Alien از تلاش‌هایی برای سوءاستفاده علیه سازمان‌هایی در سعودی و کانادا خبر داده‌اند.
Markus Wulftange که این آسیب‌پذیری را کشف کرده است، کد سوءاستفاده‌ی نمایشی آسیب‌پذیری CVE-2019-0604 را در ماه مارس سال 2019 منتشر ساخت. مدتی بعد، در اواخر ماه آوریل، حملات آغاز شدند. مرکز امنیت سایبری کانادا در ماه مارس هشداری ارسال کرد، سپس مقاماتی از مرکز امنیت سایبری ملی سعودی (NCSC)، دومین هشدار امنیتی را در هفته‌ی پایانی ماه می ارسال کردند.
گزارش مرکز امنیت سایبری سعودی نشان می‌دهد که عاملان تهدید ابتدا سازمان‌های درون سلطنت را هدف قرار داده‌اند. گزارش قبلی مرکز امنیت سایبری کانادا، به‌کارگیری مشابهی از پوسته‌ی وب کوچک Chiny Chooper برای به‌دست آوردن پایگاه اولیه شناسایی کرده است. آزمایشگاه AT&T Alien بدافزار مشابهی را شناسایی کرده است که احتمالاً مشابه نسخه‌ی قبلی بدافزار مرحله دومی به‌کارگرفته‌شده در سوءاستفاده‌های از سعودی است.
این نمونه بدافزار توسط یک هدف در چین به اشتراک گذاشته شده است. این بدافزار دستورات رمزگذاری‌شده با AES را در http://$SERVER/Temporary_Listen_Addresses/SMSSERVICE دریافت می‌کند و دارای قابلیت اجرای دستورات و دانلود و آپلود فایل‌ها هستند.
به گفته‌ی کارشناسان، یک کاربر در توییتر گزارش داد که منبع حملات، آدرس IP 194.36.189[.]177 است که قبلاً مرتبط با گروه جرایم سایبری FIN7 بوده است. به گفته‌ی کارشناسان، عامل‌های تهدید مختلفی در تلاش برای سوءاستفاده از آسیب‌پذیری CVE-2019-0604 هستند.
خبر خوب برای کاربران مایکروسافت این است که این غول تکنولوژی قبلاً در به‌روزرسانی ماه فوریه‌ی سال 2019 خود، یک وصله برای آسیب‌پذیری CVE-2019-0604 منتشر ساخته است.
کارشناسان آزمایشگاه AT&T Alien قوانین Yara را به‌منظور شناسایی کد سوءاستفاده‌ی استفاده‌شده توسط مهاجمان را در https://www.alienvault.com/blogs/labs-research/sharepoint-vulnerability-exploited-in-the-wild/ منتشر ساخته‌‌اند.
با توجه به حملات فعال در حال انجام، به شرکت‌هایی که کارگزارهای SharePonit را اجرا می‌کنند توصیه می‌شود جهت مقابله با این تهدیدات، سیستم‌های خود را به‌روزرسانی کنند.
آسیب‌پذیری CVE-2019-0604 تعداد زیادی از نسخه‌های اخیر SharePoint را تحت‌تأثیر قرار می‌دهد، مانند:
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Foundation 2013 SP1
Microsoft SharePoint Server 2010 SP2
Microsoft SharePoint Server 2019
اگر وصله‌ها نمی‌توانند اعمال شوند، به سازمان‌ها توصیه می‌شود کارگزارهای SharePoint آسیب‌پذیر را در یک دیواره‌ی آتش که تنها در شبکه‌های داخلی قابل دسترسی است، قرار دهند. اگرچه ممکن است سیستم‌ها همچنان آسیب‌پذیر باقی بمانند؛ اما حداقل دروازه‌ای برای هکرها به سمت شبکه‌های سازمان‌ها نخواهند بود.

برچسب‌ها