Microsoft Office SharePoint bajo ataques de ransomware y suplantación de identidad de alto riesgo

Los servidores de SharePoint están siendo atacados con mensajes de apariencia legítima y atacados por una banda de ransomware que usa un error antiguo.

Una campaña de phishing, descubierta por investigadores de Cofense , se está cubriendo con un tema de Microsoft Office SharePoint y eludiendo con éxito las puertas de enlace de correo electrónico de seguridad (SEG). En una publicación del martes, la firma dijo que este es un ejemplo de por qué no siempre es prudente compartir documentos a través de la plataforma de colaboración SharePoint, ampliamente utilizada y popular de Microsoft. 

La suplantación de identidad se dirige a los usuarios de Office 365 con un documento de SharePoint de aspecto legítimo que afirma necesitar con urgencia una firma de correo electrónico. 

La campaña surgió en un lugar que se supone que está protegido por la propia SEG de Microsoft. Esta no es la primera vez que hemos visto que el santuario SEG se contamina :: En diciembre, los pescadores de armas falsas engañaron a Microsoft.com para apuntar a 200 millones de usuarios de Office 365, pasando con éxito los controles SEG debido a la falla informada de Microsoft para hacer cumplir el dominio autenticación, informes y conformidad de mensajes basados ​​en (DMARC): un protocolo de autenticación de correo electrónico creado específicamente para detener la suplantación de dominio exacta (SPF / DKIM).

Correo electrónico de phishing con temática de SharePoint con un logotipo falso de Windows.

En su Informe de actividad de amenazas X-Force , IBM calificó el phish como una amenaza de alto riesgo y dio estas recomendaciones:

  • Asegúrese de que el software antivirus y los archivos asociados estén actualizados.
  • Busque señales existentes de los incidentes de compromiso indicados (IoC) en su entorno.
  • Considere bloquear y / o configurar la detección para todos los IoC basados ​​en URL e IP.
  • Mantenga las aplicaciones y los sistemas operativos ejecutándose al nivel de parche actual.
  • Tenga cuidado con los archivos adjuntos y enlaces en los correos electrónicos.

Ataques de ransomware

Los atacantes están utilizando una antigua vulnerabilidad de Microsoft SharePoint 2019 ( CVE-2019-0604 ) para meterse en las redes de las víctimas. A partir de ahí, utilizan Cobalt Strike para pasar al controlador de dominio y lanzar ataques de ransomware. 

CVE-2019-0604 es un CVE de alta gravedad que puede conducir a la ejecución remota de código. Microsoft reparó la falla en marzo de 2019, pero, no obstante, parece que los ataques que lo han utilizado para penetrar en servidores no parcheados no tienen fin desde entonces. Un ejemplo: Microsoft advirtió en octubre de 2020 que los actores estatales iraníes estaban usando CVE-2019-0604 para explotar servidores sin parchear de forma remota y luego implantar un shell web para obtener acceso persistente y ejecución de código. Después de la instalación del shell web, un atacante implementa Cobalt Strike , una herramienta de prueba de penetración disponible comercialmente que luego usan para instalar una puerta trasera que les permite ejecutar un script PowerShell automatizado, que finalmente descarga e instala la carga útil final: el ransomware Hello / Wickr.