Chinesische Angriffe auf SharePoint-Server werden mit mehreren staatlich unterstützten Hackergruppen in Verbindung gebracht, wie eine neue Sicherheitswarnung von Microsoft zeigt. Das Unternehmen gibt an, dass mindestens drei in China ansässige Spionageteams hinter den jüngsten Angriffen stecken, bei denen eine kritische SharePoint-Schwachstellenkette ausgenutzt wurde.
Diese Schwachstellen ermöglichen vollständigen Fernzugriff auf Server – ganz ohne Anmeldedaten. Infolgedessen wurden bereits Dutzende Organisationen kompromittiert, und es könnten noch mehr betroffen sein, wenn nicht umgehend Patches angewendet werden.
Drei Spionagegruppen identifiziert
Microsoft berichtet, dass Linen Typhoon, Violet Typhoon und Storm-2603 aktiv SharePoint-Server mit Internetzugang ins Visier nehmen. Diese Akteure sollen in China ansässig sein und stehen im Zusammenhang mit früheren großangelegten Cyberspionagekampagnen.
Linen Typhoon (APT27)
- Aktiv seit 2012
- Zielgruppen: Regierungen, Verteidigung, Menschenrechtsorganisationen
- Bekannt für den Diebstahl geistigen Eigentums durch bekannte Exploits und Drive-by-Angriffe
Violet Typhoon (APT31)
- Aktiv seit 2015
- Zielgruppen: NGOs, Medien, Bildung und Finanzsektor
- Führt gezielte Überwachung ehemaliger Regierungs- und Militärangehöriger durch
Storm-2603
- Zuvor mit LockBit- und Warlock-Ransomware in Verbindung gebracht
- Wird derzeit noch untersucht, Microsoft geht jedoch von einem chinesischen Ursprung aus
- Die genauen Ziele der Angriffe sind unklar
So funktioniert der Angriff
Alle drei Gruppen verwenden dieselbe Methode zur Ausnutzung. Sie senden speziell gestaltete POST-Anfragen an den SharePoint ToolPane-Endpunkt und laden dabei bösartige Skripte hoch, z. B. spinstall0.aspx.
Dieses Skript extrahiert MachineKey-Daten, die anschließend über eine GET-Anfrage zurückgesendet werden – wodurch die Angreifer die kryptografischen Schlüssel zum Kapern des Systems erhalten.
Microsoft hat außerdem folgende Dateinamenvarianten beobachtet:
spinstall.aspxspinstall1.aspxspinstall2.aspx
Globale Auswirkungen und dringende Warnungen
Weltweit warnen Behörden Organisationen, ihre Systeme umgehend zu patchen. Microsoft und andere Sicherheitsunternehmen empfehlen folgende Schritte:
- Installieren Sie die neuesten SharePoint-Sicherheitsupdates
- Rotieren Sie alle kryptografischen Schlüssel
- Überprüfen Sie Serveraktivitäten und Protokolle sorgfältig
Laut Berichten von CNBC und Bloomberg wurden bereits mehrere prominente US-Behörden kompromittiert, darunter:
- US National Nuclear Security Administration (NNSA)
- Bildungsministerium der Vereinigten Staaten
- Finanzbehörde des Bundesstaates Florida
- Generalversammlung von Rhode Island
Mindestens 100 Server wurden kompromittiert – mit hoher Wahrscheinlichkeit sind weitere betroffen.
Microsofts Einschätzung und Chinas Dementi
Microsoft erklärt mit hoher Sicherheit, dass diese Gruppen weiterhin ungepatchte SharePoint-Systeme im Visier haben. Die Untersuchungen dauern an, und weitere Opfer könnten noch identifiziert werden.
Als Reaktion auf die Vorwürfe hat die chinesische Botschaft in Washington jegliche Beteiligung bestritten und die Anschuldigungen als unbegründet und politisch motiviert bezeichnet.
Fazit
Die chinesischen SharePoint-Server-Angriffe zeigen, wie gefährlich ungepatchte Systeme als Ziele für nationale Sicherheitsbedrohungen sein können. Da Spionagegruppen aktiv Zero-Day-Schwachstellen ausnutzen, müssen Organisationen schnell handeln, um ihre Infrastruktur zu schützen – oder riskieren, die nächste Schlagzeile zu werden.
0 Antworten zu „Chinesische SharePoint-Server-Angriffe mit China-unterstützten Hackern in Verbindung gebracht“