Hacker nehmen verstärkt Sharepoint-Server ins Visier

Den Angaben zufoolge wird die Anfälligkeit mit der Kennung CVE-2019-0604 angegriffen, für die Microsoft in den Monaten Februar, März und April Patches parat gestellt hat. "Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code im Kontext des Sharepoint-Anwendungspools und des Sharepoint-Serverfarmkontos ausführen," so die Redmonder. "Die Ausnutzung dieser Sicherheitsanfälligkeit erfordert, dass ein Benutzer ein speziell gestaltetes Sharepoint-Anwendungspaket auf eine betroffene Sharepoint-Version hochlädt."

Microsoft bewertet die Lücke als kritisch. Sie steckt in Sharepoint Enterprise Server 2016, Sharepoint Foundation 2010 Service Pack 2, Sharepoint Foundation 2013 Service Pack 1, Sharepoint Server 2010 Service Pack 2, Sharepoint Server 2013 Service Pack 1 und Sharepoint Server 2019.

Schon im März veröffentlichte der Sicherheitsforscher Markus Wulftange, der den Bug auch entdeckte, Beispielcode für einen Exploit. Weitere Proof-of-Concept tauchten anschliessend auf Github und Pastebin auf. Kurz darauf begannen dann auch die ersten Attacken. Das Canadian Centre for Cyber Security reagierte schon im April mit seiner Sicherheitswarnung. In der vergangenen Woche veröffentlichte dann auch das Saudi National Cyber Security Center eine Warnmeldung. Beide Behörden berichten von Fällen, in denen Angreifer die Kontrolle über Sharepoint-Server übernahmen und eine Version der Web Shell China Chopper einschleusten. Diese Malware erlaubt es Hackern, sich mit einem Server zu verbinden und diesen aus der Ferne zu steuern. Laut der kanadischen Behörde zählen vor allem Unternehmen in den Bereichen Forschung, Energieversorgung, Schwerindustrie, Produktion und Technologie zu den Opfern. Unternehmen, die Sharepoint-Produkte einsetzen, sollten die verfügbaren Patches nun zeitnah installieren.