Angriffe auf kürzlich gepatchte SharePoint-Schwachstelle

Kriminelle machen sich eine kürzlich von Microsoft behobene Sicherheitslücke in mehreren Varianten von »SharePoint« zunutze. Davor haben übereinstimmend mit IT-Sicherheit betraute Behörden in Kanada und Saudi-Arabien gewarnt. Das BSI (Bundesamt für Sicherheit in der Informationstechnik hat über seinen Warndienst bislang noch keine Meldung herausgegeben.

Hacker machen sich schon seit Jahren die Tatsache zunutze, dass Anwender von Herstellern bereitgestellte Patches oft monatelang nicht einspielen – entweder aus Bequemlichkeit, oder weil sie fürchten, dass es durch die Sicherheits-Update zu Kompatibilitätsproblemen kommen könnte. Das lässt Angreifern Zeit, die Aktualisierung zu studieren und dadurch die Schwachstelle zu ermitteln.

Geschichte der Sharepoint-Lücke CVE-2019-0604

Im aktuellen Fall der unter der Kennung CVE-2019-0604 registrierten Lücke war das nicht einmal notwendig. Der Sicherheitsforscher, der sie entdeckt hatte, legte einen Monat nach der Veröffentlichung der Aktualisierung ausführlich dar, wie sich die Schwachstelle ausnutzen lässt. Weitere Software, mit der die Sicherheitslücke missbraucht werden kann, tauchte ZDNet.de zufolge wenig später in den bei Entwicklern beliebten Diensten GitHub und Pastebin auf.

Betroffene Sharepoint-Versionen

Microsoft stuft die Schwachstelle in einem Advisory als kritisch ein, da Angreifer sie ausnutzen können, um umfassenden Zugriff auf die Systeme zu erlangen. Der Hersteller hatte im Februar, März und April Patches bereitgestellt. Damit wird die Schwachstelle in Sharepoint Enterprise Server 2016, Sharepoint Foundation 2010 Service Pack 2, Sharepoint Foundation 2013 Service Pack 1, Sharepoint Server 2010 Service Pack 2, Sharepoint Server 2013 Service Pack 1 und Sharepoint Server 2019 geschlossen.

Sowohl dem Canadian Centre for Cyber Security als auch dem National Cyber Security Center Saudi-Arabiens sind offenbar Fälle bekannt, in denen Angreifer die Sicherheitslücke erfolgreich ausnutzten. Sie konnten dadurch Schadsoftware einschleusen und sich aus der Ferne mit dem Server verbinden.

Den Angreifern geht es anscheinend nicht darum, die Systeme lahmzulegen. Sie wollen vielmehr Daten abgreifen. In Kanada waren in erster Linie Unternehmen betroffen, die sich mit Forschung, Technologie, Schwerindustrie und Produktion beschäftigen.