SharePoint sotto attacco tramite la vulnerabilità CVE-2019-0604

Microsoft Server SharePoint & CVE-2019-0604

CVE-2019-0604, una vulnerabilità critica che rende possibile l’attacco ai server Microsoft SharePoint. Questa vulnerabilità  viene sfruttata dagli aggressori per installare una web shell.
La web shell consente di ottenere un accesso continuo al sistema e, potenzialmente, alla rete interna su cui risiede. Secondo il Canadian Centre for Cyber Security, i ricercatori hanno identificato sistemi compromessi appartenenti ai settori accademico, utility, industria pesante, manifatturiero e tecnologico.

CVE-2019-0604

“Una vulnerabilità di esecuzione del codice remoto esiste in Microsoft SharePoint quando il software non riesce a controllare il codice sorgente di un pacchetto applicativo. Un aggressore che sfrutta con successo la vulnerabilità potrebbe eseguire codice arbitrario nel contesto del pool di applicazioni SharePoint e dell’account della server farm di SharePoint”, ha spiegato Microsoft nel febbraio 2019, quando ha rilasciato per la prima volta le patch per il difetto.

La vulnerabilità è stata scoperta dal ricercatore sulla sicurezza Markus Wulftange. Lo ha riferito a Microsoft tramite l’iniziativa Zero Day Initiative di Trend Micro e ha rilasciato dettagli tecnici e codice PoC exploit a marzo, un giorno dopo che Microsoft ha rilasciato nuovamente l’aggiornamento iniziale della sicurezza perché l’exploit funzionava ancora nonostante la patch iniziale.

Il PoC di Wulftange è stato seguito da altri PoC pubblicati e resi pubblici tramite GitHub e Pastebin. Inoltre, Microsoft ha allargato la lista dei software interessati alla fine di aprile, e ora si presenta così:

Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Foundation 2010 Service Pack 2
Pacchetto di servizi Microsoft SharePoint Foundation 2013 Service Pack 1
(1) Microsoft SharePoint Server 2010 Service Pack 2
(2) Microsoft SharePoint Server 2013 Service Pack 1
(3) Microsoft SharePoint Server 2019.

Il Centro canadese per la sicurezza informatica ha lanciato un allarme sugli attacchi in corso sfruttando CVE-2019-0604  e ha consigliato agli amministratori di implementare tutte le patch messe a disposizione da Microsoft.



Impatto

CVSS v2.0 Severity and Metrics:

Base Score: 9.3 HIGH
Vector: (AV:N/AC:M/Au:N/C:C/I:C/A:C) (V2 legend) 
Impact Subscore: 10.0 
Exploitability Subscore: 8.6

Access Vector (AV): Network 
Access Complexity (AC): Medium 
Authentication (AU): None 
Confidentiality (C): Complete 
Integrity (I): Complete 
Availability (A): Complete 
Additional Information: 

  • Victim must voluntarily interact with attack mechanism
  • Allows unauthorized disclosure of information
  • Allows unauthorized modification
  • Allows disruption of service