Vulnerabilidade no SharePoint CVE-2019-0604

Tweet

No sábado, 11 de maio de 2019, recebemos a notícia de uma vulnerabilidade crítica da Web sendo ativamente explorada em estado selvagem por ameaças persistentes avançadas ( APTs ), afetando o servidor do SharePoint da Microsoft (versões de 2010 a 2019).

Este foi o CVE-2019-0604 , uma vulnerabilidade de Execução Remota de Código em Microsoft SharePoint Servers que anteriormente não era explorável via web.

Vários centros de segurança cibernética, incluindo o Centro Canadense de Segurança Cibernética e o Centro Nacional da Arábia Saudita, alertaram sobre essa ameaça, indicando que ela estava sendo explorada para baixar e executar códigos maliciosos que, por sua vez, teriam controle total dos servidores.

As versões de software afetadas:

• Microsoft SharePoint Foundation 2010 Service Pack 2
• Microsoft SharePoint Foundation 2013 Service Pack 1
• Service Pack 2 do Microsoft SharePoint Server 2010
• Microsoft SharePoint Server 2013 Service Pack 1
• Microsoft SharePoiant Enterprise Server 2016
• Microsoft SharePoint Server 2019

Introdução

A vulnerabilidade foi inicialmente atribuída uma classificação crítica CVSS v3 de 8,8 na Zero Day Initiative consultivo (no entanto o autenticação estados de consultoria é necessária). Isso implicaria apenas uma ameaça interna, alguém que tenha autorização no SharePoint, como um funcionário, na rede local poderia explorar a vulnerabilidade.

Descobrimos que nem sempre foi esse o caso, pois havia caminhos que poderiam ser alcançados sem autenticação, via sites externos. Usando a calculadora NIST NVD, ela determina que a pontuação base real seja 9,8 de 10 sem o requisito de autenticação.

Como parte do nosso processo interno de pontuação de vulnerabilidade, decidimos que isso era crítico o suficiente para exigir atenção imediata. Isso foi por várias razões. O primeiro foi um CVE crítico que afeta um grande ecossistema de software, principalmente voltado para empresas. Parece não haver nenhum patch estável disponível no momento. E houve vários relatos de que ele foi ativamente explorado na natureza por APTs.

Implementamos uma regra de firewall inicial no mesmo dia, a regra 100157. Isso nos permitiu analisar o tráfego e solicitar a frequência antes de tomar uma decisão sobre a ação padrão. Ao mesmo tempo, deu aos nossos clientes a capacidade de proteger seus ativos on-line contra esses ataques antes de um patch.

Observamos as primeiras sondas por volta das 16h47 do dia 11 de maio, até as 21h12. Temos razões para acreditar que esses ataques não foram bem-sucedidos e que eram simplesmente sondagens de reconhecimento neste momento.

Os hosts vulneráveis ​​on-line expostos à Web eram, em grande parte, compostos por empresas corporativas de alto tráfego, o que faz sentido com base no gráfico abaixo da W3Techs.

Saiba mais: Cloudflare