Експерти з інформаційної безпеки попередили про кібератаки на сервери Microsoft SharePoint, які тривають протягом вже більше двох тижнів. Під час атак зловмисники експлуатують відому уразливість CVE-2019-0604.
Згідно з повідомленням безпеки Microsoft, уразливість дозволяє виконати довільний код у контексті пулу додатки SharePoint і облікового запису сервера SharePoint. Компанія виправила CVE-2019-0604 з виходом патчів у лютому, березні і квітні нинішнього року.
Демо-експлоїт для уразливості був опублікований дослідником із безпеки Маркусом Вульфтанге (Markus Wulftange) в березні, але незабаром на GitHub і Pastebin стали з’являтися PoC-коди і від інших розробників.
Атаки не змусили себе довго чекати – перші з них були зафіксовані вже в кінці квітня. Центр кібербезпеки Канади (Canadian Centre for Cyber Security) опублікував своє попередження в минулому місяці, а минулого тижня з’явилося ще одне, на цей раз від Національного центру кібербезпеки Саудівської Аравії (NCSC).
Згідно з повідомленнями обох організацій, кіберзлочинці зламують сервери SharePoint і встановлюють на них варіант шкідливого ПЗ China Chopper. Програма представляє собою web-оболонку, що дозволяє зловмисникам підключатися до серверів і запускати різні команди.
Експертам важко сказати, хто стоїть за атаками. Як повідомляє Центр кібербезпеки Канади, “довірені дослідники виявили скомпрометовані системи, що належать науковим організаціям, а також підприємствам комунального господарства, важкої промисловості, виробничого і технологічного секторів”. NCSC не повідомляє, хто став жертвою атак.
На перший погляд атаки можуть здатися пов’язаними між собою, але це не обов’язково так. China Chopper – дуже поширене шкідливе ПЗ і, незважаючи на назву, активно використовується кіберзлочинцями по всьому світу. За словами дослідника з безпеки Кріса Домана (Chris Doman), одна з IP-адрес атакуючих раніше вже була помічена в арсеналі угруповання FIN7.
Щоб уникнути атак рекомендується встановити на сервери SharePoint останні оновлення безпеки. Якщо встановлення патчів неможливе, сервери потрібно захистити за допомогою брандмауера.
Зверніть увагу, кіберзлочинне угрупування, імовірно російського походження, виставило на продаж інформацію, викрадену у трьох американських виробників антивірусного програмного забезпечення. Йдеться про угрупування під назвою Fxmsp, довгий час спеціалізується на продажу справжніх корпоративних даних.
До речі, останні версії браузерів UC Browser і UC Browser Mini для Android-пристроїв, що налічують понад 600 мільйонів завантажень, уразливі до URL-спуфінга. Уразливість була виявлена дослідником безпеки Аріфом Ханом (Arif Khan), який повідомив про неї розробника UC Web минулого місяця.
Нагадаємо, компанія WhatsApp, яка належить Facebook, оновила свою сторінку підтримки операційних систем. Компанія додала нову операційну систему до списку ОС, для якої буде припинено оновлення.
Також новий Android Q буде наділений можливістю, яка дозволить смартфону автоматично зрозуміти, якщо його власник потрапить у автокатастрофу.
