O vulnerabilitate critică de tip Remote Code Execution (RCE) afectează mai multe versiuni de Microsoft SharePoint Server instalate local. Aceasta permite unui atacator să execute cod de la distanță fără autentificare. De altfel, Microsoft a emis o alertă privind „atacuri active” asupra unui software de server utilizat de agenții guvernamentale și companii pentru partajarea documentelor în cadrul organizațiilor, recomandând actualizări de securitate pe care clienții trebuie să le aplice imediat.
Atacatorul poate încărca un fișier ASPX malițios (de exemplu, spinstall0.aspx), care extrage cheile criptografice ale serverului.
Cu aceste chei, atacatorul generează un payload __VIEWSTATE semnat și criptat, care este acceptat de server și permite execuția de cod .NET arbitrar.
Microsoft a precizat că vulnerabilitățile vizează doar serverele SharePoint folosite în interiorul organizațiilor. De asemenea, a clarificat că SharePoint Online din Microsoft 365, care funcționează în cloud, nu a fost afectat de aceste atacuri.
„Am coordonat îndeaproape răspunsul nostru cu CISA, Comandamentul de Apărare Cibernetică al Departamentului Apărării și parteneri-cheie în domeniul securității cibernetice la nivel global”, a declarat un purtător de cuvânt Microsoft.
Acesta a adăugat că au fost emise actualizări de securitate și au îndemnat clienții să le instaleze imediat.
Problema este agravată de faptul că aceste chei MachineKey sunt partajate între toate instanțele din aceeași infrastructură SharePoint, permițând exploatarea repetată și mobilă chiar și după aplicarea actualizărilor, dacă nu sunt regenerate manual cheile criptografice.
Versiunile afectate sunt Microsoft SharePoint Server 2016 (Enterprise), pentru care nu există încă patch, Microsoft SharePoint Server 2019 și Microsoft SharePoint Server Subscription Edition.
Până la aplicarea actualizărilor, specialiștii recomandă activarea Antimalware Scan Interface (AMSI) și Microsoft Defender AV/Endpoint pe toate serverele, deconectarea de la internet dacă AMSI nu este disponibil și regenerarea cheilor MachineKey după actualizare.
Pericol uriaș pentru zeci de mii de servere
FBI a declarat duminică că este conștient de aceste atacuri și colaborează strâns cu partenerii săi federali și din sectorul privat, fără a oferi alte detalii.
The Washington Post, care a raportat primul despre aceste atacuri, a spus că actori neidentificați au exploatat în ultimele zile o vulnerabilitate pentru a lansa un atac ce a vizat agenții și companii din SUA și internaționale.
Atacul este considerat un „zero day”, deoarece a vizat o vulnerabilitate necunoscută anterior, a explicat publicația citând experți. Zeci de mii de servere erau expuse riscului.
În alertă, Microsoft a precizat că vulnerabilitatea „permite unui atacator autorizat să realizeze spoofing în rețea.” A fost emis un set de recomandări pentru a împiedica exploatarea acesteia.
Într-un atac de tip spoofing, un actor poate manipula piețele financiare sau agențiile, ascunzându-și identitatea și prezentându-se drept o persoană, organizație sau site de încredere.
Anterior, Microsoft a anunțat că lucrează la actualizări pentru versiunile SharePoint 2016 și 2019. Dacă clienții nu pot activa protecția recomandată împotriva malware-ului, ar trebui să deconecteze serverele de internet până când este disponibilă o actualizare de securitate.
