แจ้งเตือนภัย: นักวิจัยด้านความปลอดภัยเปิดเผยผลการวิเคราะห์ช่องโหว่ของ SharePoint สู่สาธารณะผู้ใช้ควรรีบเเพตซ์โดยด่วน

นักวิจัยด้านความปลอดภัย Steven Seeley ได้ทำการเปิดเผยถึงการวิเคราะห์และการใช้ประโยชน์จากช่องโหว่ RCE บนผลิตภัณฑ์ Microsoft SharePoint ที่ถูกติดตามด้วยรหัส CVE-2020-1147 (CVSS: 9.8/10) โดยช่องโหว่จะทำให้ผู้โจมตีที่มีสิทธ์ต่ำในระบบสามารถเรียกใช้โค้ดจากระยะไกลจากเครื่องที่เป็นเป้าหมายได้

Steven เปิดเผยว่าช่องโหว่ CVE-2020-1147 นั้นเกิดจากการผิดพลาดในการตรวจสอบ source markup ของ XML file input เมื่อผู้โจมตีทำการอัปโหลด XML ที่เป็นอันตราย ช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่ต้องการได้ในกระบวนการ deserialization ของเนื้อหา XML

ช่องโหว่ยังส่งผลต่อ . NET Core 2.1, .NET Framework 2.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2 และ 4.8 (ขึ้นอยู่กับ Windows รุ่น), SharePoint Enterprise Server 2013 Service Pack 1, SharePoint Enterprise Server 2016, SharePoint Server 2010 Service Pack 2, เซิร์ฟเวอร์ SharePoint 2019, Visual Studio 2017 รุ่น 15.9 และ Visual Studio 2019 รุ่น 16.0, 16.4 และ 16.6

นักวิจัยด้านความปลอดภัยได้ออกคำเเนะนำให้ผู้ใช้รีบทำการอัพเดตเเพตซ์การเเก้ไขช่องโหว่โดยด่วนเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากการวิเคราะห์ช่องโหว่ซ้ำนำไปสู่การสร้าง PoC เพื่อหาประโยชน์จากช่องโหว่ต่อไป

ที่มา:

bleepingcomputer
securityweek

แฮกเกอร์ส่ง phishing ผ่าน SharePoint ที่ถูกแฮกเพื่อหลบหลีก Email Gateway

แฮกเกอร์หันมาใช้ SharePoint และเอกสาร OneNote ที่ถูกแฮกเพื่อโจมตีเหยื่อในธุรกิจธนาคารและการเงินโดยการทำฟิชชิ่ง
ผู้โจมตีใช้ประโยชน์จากโดเมนที่ใช้โดยแพลตฟอร์มการทำงานร่วมกันบน SharePoint ของ Microsoft ที่มักจะถูกมองข้ามโดยการรักษาความปลอดภัยเกตเวย์ของอีเมล ซึ่งจะทำให้ข้อความฟิชชิ่งมักเข้าถึงกล่องข้อความเป้าหมายได้โดยไม่มีการตรวจพบ

อีเมลฟิชชิ่งดังกล่าวจะถูกส่งโดยบัญชีที่ถูกแฮกและขอให้เป้าหมายประเมินข้อกฎหมายส่วนบุคคลผ่าน URL SharePoint ที่มากับข้อความภายในอีเมล เมื่อเหยื่อเข้าไปตามลิงค์ดังกล่าวจะพบเอกสารที่อ่านไม่ได้ที่มีลิงค์นำไปยังหน้าฟิชชิ่ง เมื่อเป้าหมายเข้าถึงหน้าฟิชชิ่ง พวกเขาจะเห็นเป็นหน้าเลียนแบบ OneDrive for Business และมีข้อความว่า “เอกสารนี้ปลอดภัย โปรดเข้าสู่ระบบเพื่อดู แก้ไข หรือดาวน์โหลด เลือกตัวเลือกด้านล่างเพื่อดำเนินการต่อ” โดยจะมีตัวเลือกจะให้เลือกว่าจะเข้าสู่ระบบด้วยบัญชี Office 365 หรือบัญชีผู้ให้บริการอีเมลอื่น ซึ่งเทคนิคฟิชชิ่งถูกออกแบบมาในการเก็บข้อมูลส่วนตัวถ้าเป้าหมายไม่ได้ต้องการเข้าสู่ระบบด้วยบัญชี Microsoft

เมื่อเหยื่อหลงกรอกข้อมูล ข้อมูลของเหยื่อจะถูกเก็บด้วยฟิชชิ่ง kit ของ BlackShop Tools และบัญชีของเหยื่อก็ถูกใช้โจมตีต่อไป

ผู้ที่สนใจสามารถอ่านรายงานการค้นพบดังกล่าวพร้อมกับดูรายการ IOC ของแคมเปญนี้ได้จากรายงานของ Cofense ที่ https://cofense.