طبق گزارش های امنیتی اخیر سازمان های امنیتی کانادا و عربستان سعودی، گروه های هکرها برای حمله به سرورهای مایکروسافت شیرپوینت برای بهره برداری از یک آسیب پذیری که اخیرا آسیب پذیر شده اند و دسترسی به شبکه های شرکت های دولتی و دولتی را به دست می آورند.
نقص امنیتی که در این حملات مورد سوء استفاده قرار گرفته است به عنوان CVE-2019-0604 ردیابی می شود، که مایکروسافت از طریق به روز رسانی های امنیتی که در ماه فوریه، مارس و آوریل امسال منتشر شده است، رفع شده است.
مایکروسافت در آن زمان گفت: "مهاجمی که با موفقیت آسیب پذیری را مورد سوء استفاده قرار داد، می تواند کد دلخواه را در زمینه استخر برنامه کاربردی شیرپوینت و حساب کاربری مزرعه سرور شیرپوینت اجرا کند.
اتفاقی که در اواخر ماه آوریل آغاز شد
مارکوس والفتانگ، محقق امنیتی که آسیب پذیری را کشف کرد، در ماه مارس برای نسخه CVE-2019-0604 از نسخه ی نمایشی استفاده کرد، اما سایر PoC ها نیز در GitHub و Pastebin ظاهر شدند.
در اواخر ماه آوریل حملات به زودی آغاز شد. مرکز امنیت سایبری کانادا در ماه گذشته یک هشدار ارسال کرد و سپس مقامات مرکز ملی سایبر سعودی سعودی (NCSC) این هفته هشدار امنیتی دوم را ارسال کردند.
هر دو سازمان امنیت سایبری گزارش دادند که مهاجمان از سرورهای شیرپوینت استفاده می کنند و نسخه ای از پوسته Chopper چین را به وجود می آورند، نوعی بدافزار نصب شده بر روی سرورها است که هکرها را قادر می سازد تا به آن متصل شوند و دستورات مختلفی را صادر کنند.
"جالب است که دولت کانادا و دولت عربستان سعودی، در آغاز حمله به چین نصب Chopper را گزارش دادند." کریس دانمان، یک محقق امنیتی در آزمایشگاه های Alien Vault Labs AT & T، امروز به ZDNet گفت.
مقامات کانادایی گفتند که "محققان معتبر سیستم های آسیب پذیر متعلق به بخش های علمی، کاربردی، صنایع سنگین، صنایع تولید و فن آوری را شناسایی کرده اند."
از سوی دیگر، مقامات عربستان سعودی نمی گویند که مهاجمین چه نقشی داشته اند، اما یک پیام مرگ را از یکی از شبکه های قربانی منتشر کردند، نشان می دهد که چگونه مهاجمان از اسکریپت PowerShell برای دسترسی بیشتر و ایجاد شناسایی داخلی در شبکه استفاده می کنند. "
آنها همچنین گفتند حملات به سازمان های سعودی که سرورهای همکاری تیم شیرپوینت را اجرا می کنند تقریبا دو هفته طول می کشد و همزمان با شروع هشدار آژانس کانادایی، حملات را آغاز می کنند.
در حالی که این ممکن است شبیه حملات به نحوی مرتبط باشد، شواهد موجود این نظریه را پشتیبانی نمی کند.
"دانمان به ZDNet گفت:" هر دو کانادایی ها و سعودی ها از وب کم چینی چینی استفاده می کنند، اما این بسیار معمول است. " "با وجود نام، چیپس چین توسط مهاجمان از تعدادی از مناطق استفاده می شود."
علاوه بر این، یک محقق در توییتر خاطرنشان کرد که یکی از آدرس های IP درگیر در حملات بر روی سرورهای SharePoint نیز توسط گروه جرایمی سایبری FIN7 شناخته شده است که از حمله به بخش مالی استفاده می کنند.
با این حال، دانمان اعتقاد ندارد که FIN7 گروهی است که به سرورهای مایکروسافت شیرپوینت حمله می کند - حداقل در حال حاضر.
Doman به ZDNet گفت: "این IP در ماه های گذشته توسط FIN7 مورد استفاده قرار گرفته است و دیگر فعالیت های مخرب از آن دیده نشده است. این یک IP معمولا مورد سوء استفاده قرار گرفته مانند VPN یا میزبان وب رایگان یا مشابه آن نیست." "در همان زمان، در خود یک لینک نسبتا ضعیف است."
تماشا یا خاموش شدن سرویس دهنده های خبری ضروری است
با حملات فعال در حال انجام، شرکتهایی که سرورهای SharePoint را اجرا می کنند، توصیه می شود سیستم های خود را به روز نگه دارند تا هر تهدید را کاهش دهند.
CVE-2019-0604 شناخته شده است که به یک تکه بزرگ از منتشر شده SharePoint اخیر، مانند:
Microsoft SharePoint Enterprise Server 2016
مایکروسافت شیرپوینت بنیاد 2013 SP1
مایکروسافت شیرپوینت سرور 2010 SP2
مایکروسافت شیرپوینت سرور 2019
اگر تکه ها نمی توانند اعمال شوند، سازمان ها توصیه می کنند که سرورهای شیرپوینت آسیب پذیر را در یک فایروال قرار دهند، که فقط در شبکه های داخلی قابل دسترسی هستند. سرورها ممکن است آسیب پذیر باقی بمانند، اما حداقل آنها دروازه ای برای هکرها در شبکه های شرکت نخواهند بود.