Miles de servidores podrían estar expuestos a la vulnerabilidad de SharePoint CVE-2019-0604, utilizada recientemente en ataques cibernéticos contra objetivos del gobierno de Oriente Medio.
Los investigadores han detectado múltiples instancias de ciberatacantes que utilizan la vulnerabilidad de SharePoint CVE-2019-0604 para apuntar a organizaciones gubernamentales en el Medio Oriente. Estos marcan los últimos casos de adversarios que explotan la falla, que se utilizó recientemente para violar las Naciones Unidas.
CVE-2019-0604 existe cuando SharePoint no puede verificar el marcado de origen de un paquete de aplicación. Los atacantes podrían explotar esto cargando un paquete de aplicación de SharePoint especialmente diseñado en una versión afectada del software. Si tienen éxito, podrían ejecutar código arbitrario en el contexto del grupo de aplicaciones de SharePoint y la cuenta de la granja de servidores de SharePoint.
Microsoft lanzó un parche para la vulnerabilidad en febrero de 2019 y luego actualizó su corrección en abril. Poco después, surgieron informes que indicaban que la falla de ejecución remota de código estaba bajo ataque activo. Una serie de incidentes utilizaron el shell web de China Chopper para ingresar a un objetivo; La evidencia muestra que los atacantes utilizaron el shell web para obtener acceso a la red en varias organizaciones.
Nuevos hallazgos de la Unidad 42 de Palo Alto Networks sugieren que la vulnerabilidad sigue siendo popular entre los atacantes. En septiembre de 2019, los investigadores detectaron actores de amenazas desconocidos que explotaban la falla para instalar varios shells web en el sitio web de una organización gubernamental de Medio Oriente. Uno de ellos fue AntSword, un shell web disponible gratuitamente en GitHub que se asemeja a China Chopper.
Los atacantes usaron estos shells web para moverse lateralmente a través de la red para acceder a otros sistemas, explica Robert Falcone, analista de inteligencia sobre amenazas cibernéticas. del blog sobre los hallazgos. Emplearon una variante Mimikatz personalizada para volcar las credenciales de la memoria y la herramienta atexec de Impacket para usar las credenciales volcadas para ejecutar comandos en otros sistemas en toda la red.
Más tarde, en septiembre, la Unidad 42 vio esta misma variante de Mimikatz cargada en un shell web alojado en otra organización gubernamental en un segundo país del Medio Oriente. Esta variante es única, escribe Falcone, ya que tiene una aplicación de cargador supuestamente personalizada escrita en .NET. Debido a esto, los investigadores creen que el mismo grupo está detrás de las brechas en ambas organizaciones gubernamentales.
Esta no es la primera vez que la Unidad 42 ve a CVE-2019-0604 utilizado contra objetivos del gobierno en el Medio Oriente. En abril de 2019 los investigadores vieron el grupo de amenaza Emissary Panda explota esta falla para instalar shells web en servidores de SharePoint en organizaciones gubernamentales en dos países del Medio Oriente, ambos diferentes de las naciones objetivo de los ataques de enero. No existen vínculos fuertes que los unan, aparte de una vulnerabilidad común, un conjunto de herramientas similar y las víctimas del gobierno.
"La explotación de esta vulnerabilidad no es exclusiva de Emissary Panda, ya que varios grupos de amenazas están utilizando esta vulnerabilidad para explotar los servidores de SharePoint para obtener acceso inicial a las redes específicas", escribe Falcone. Existe la posibilidad de superposición en el uso de AntSword, ya que Emissary Panda usó China Chopper y los dos son "increíblemente similares", explica, pero los investigadores no creen que los atacantes detrás de los ataques de abril de 2019 hayan aprovechado AntSword.
CVE-2019-0604 apareció en un ataque reciente contra las Naciones Unidas durante el cual intrusos comprometieron servidores en las oficinas de la ONU en Ginebra y Viena. Los atacantes accedieron a Directorios Activos, probablemente comprometiendo recursos humanos y datos de red. No está claro exactamente qué archivos fueron robados en la violación. Un funcionario de TI de la ONU estima que se descargaron unos 400 GB de archivos.
A principios de enero de 2020, los investigadores de la Unidad 42 utilizaron Shodan para buscar servidores con acceso a Internet que ejecuten versiones de SharePoint expuestas a CVE-2019-0604. Sus hallazgos mostraron que 28,881 servidores anunciaron una versión vulnerable del software. No revisaron cada servidor para verificar su exposición, por lo que es posible que muchos servidores públicos no estén expuestos o hayan sido parcheados.
"Independientemente, la gran cantidad de servidores y el código de explotación disponible públicamente sugiere que CVE-2019-0604 sigue siendo un vector de ataque importante", escribe Falcone.
Contenido relacionado:
Kelly Sheridan es la editora de personal de Dark Reading, donde se especializa en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que trabajó anteriormente para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas ... Ver Biografía completa
Más Información
