Jetzt patchen: Angreifer nehmen ältere SharePoint-Server-Lücke ins Visier

Die schon im Februar/März gefixte Lücke CVE-2019-0604 wird aktiv ausgenutzt. Wer die Updates noch nicht installiert hat, sollte spätestens jetzt handeln.

In Pocket speichern vorlesen Druckansicht
Jetzt patchen: Angreifer nehmen ältere SharePoint-Lücke ins Visier

(Bild: Microsoft)

Lesezeit: 2 Min.

Kanadische und saudi-arabische IT-Sicherheitsbehörden warnen derzeit vor aktiven Angriffen auf eine Sicherheitslücke in mehreren Versionen von SharePoint Server. Sie erlaubt Angreifern unter bestimmten Voraussetzungen das Ausführen beliebigen Programmcodes aus der Ferne (Remote Code Execution) im Kontext von SharePoint-Anwendungspools und Serverfarmkonten.

Updates, die die Lücke schließen, hat Microsoft bereits im Februar und März veröffentlicht. Laut einem Sicherheitshinweis des Canadian Centre for Cyber Security blieben bisher aber viele Systeme ungepatcht. Das saudi-arabische National Cyber Security Center will innerhalb der vergangenen zwei Wochen mehrere Hinweise auf Angriffe auf "verschiedene Organisationen" erhalten haben.

Von der Sicherheitslücke mit der Kennung CVE-2019-0604 sind laut Microsofts Sicherheitshinweisen Enterprise Server 2016, Foundation 2010 (Service Pack 2), Foundation 2013 (Service Pack 1), Server 2010 (Service Pack 2), Server 2013 (Service Pack 1) und Server 2019 betroffen. Nutzer der genannten Versionen/Editions sollten, sofern noch nicht geschehen, umgehend die bereitstehenden Updates einspielen.

Links zu den Downloads sowie weitere Informationen finden Betroffene in Microsofts Sicherheitshinweis.

Sowohl im kanadischen als auch im saudi-arabischen Security Advisory ist übereinstimmend von Angriffen mit der Webshell "China Chopper" unter Ausnutzung von CVE-2019-0604 die Rede.

Die kanadische Behörde hat weiterführende Informationen zu China Chopper veröffentlicht, denen zufolge die nur 4 KBytes große Webshell bereits seit 2012 immer wieder von kriminellen Akteuren für Angriffe verwendet wird. Den Angreifern spielt im aktuellen Fall die Tatsache in die Hände, dass bereits seit März Proof-of-Concept-Exploit-Code für CVE-2019-0604 öffentlich verfügbar ist.

Weitere Details zum Angriff sowie Indicators of Compromise (Datei-Hashes und IP-Adressen) sind den Sicherheitshinweisen der Behörden zu entnehmen. (ovw)