Gehackt VN bevestigt: SharePoint-patch ontbrak

Het ging hierbij dus niet om een zogeheten 0-day kwetsbaarheid, waar dus nog geen patch voor beschikbaar is. Het gat waarlangs de vooralsnog onbekende aanvallers zijn binnengekomen, is CVE-2019-0604 en stamt van begin vorig jaar. Microsoft heeft in februari 2019 de kwetsbaarheid onthuld, toen het daarvoor een patch uitbracht. Eind april is die patch opnieuw uitgebracht, omdat het de kwetsbaarheid niet goed bleek te dichten. In juli zijn aanvallers binnengedrongen bij de Verenigde Naties, wat die organisatie pas eind augustus heeft ontdekt.

Remote code execution

De kritieke kwetsbaarheid in SharePoint stelt kwaadwillenden in staat om het inlogproces te omzeilen en zich op afstand toegang te verschaffen tot de kwetsbare server. Daarbij zijn dan commando's uit te voeren met rootrechten. In mei hebben security-experts al gewaarschuwd dat deze kwetsbaarheid in de praktijk al werd ingezet voor hackaanvallen. Microsoft heeft bij het uitbrengen van zijn patches medegedeeld dat er geen workarounds zijn en ook geen beperkende maatregelen (mitigations) om misbruik van het beveiligingsgat te beperken of voorkomen.

Het door de VN niet-gepatchte SharePoint-gat wordt onder meer gemeld door security-onderzoeker Kevin Beaumont en is bevestigd door de VN. Beaumont heeft het interne, en vooralsnog geheim gehouden VN-rapport over de hack ingezien. Dat uitgelekte rapport is hem voorgelegd door The New Humanitarian, die de diepgaande cyberinbraak bij de VN heeft onthuld. Beaumont tweet dat het ging om een internet-facing SharePoint-server bij de VN, waar dus de door Microsoft uitgebrachte patches niet op waren toegepast.

Moest binnen een maand

Een woordvoerder van de VN bevestigt tegenover The New Humanitarian dat de patch niet was geïnstalleerd. Volgens het IT-securitybeleid van de VN moet zo'n patch binnen een maand geïnstalleerd zijn. Dat heeft de IT-organisatie van de internationale organisatie  niet gehaald, ook niet in het geval van de opnieuw uitgebrachte patch (van april vorig jaar).

Na de initiële inbraak bij de VN in Wenen zijn de aanvallers via het netwerk 'doorgestoken' naar het VN-kantoor in Genève, zo schrijft The New Humanitarian in het kader 'How they did it'. Daarbij is ook het kantoor van de High Commissioner for Human Rights (OHCHR) bereikt en gecompromitteerd. De aanvallers hebben de rechten van domain-beheerders bij de VN in handen gekregen.

In december vorig jaar bleken meerdere organisaties dit beveiligingsgat nog niet te hebben aangepakt, aldus de waarschuwing van security-onderzoeker Beaumont toen. Dit nadat er dus in mei al sprake was van hackaanvallen, en in november van gerichte aanvallen, zo waarschuwde Beaumont toen. Begin dit jaar was er nog altijd sprake van kwetsbare organisaties, die dus hun SharePoint-installaties niet hadden gepatcht. Ontwikkelde proof-of-concepts voor exploits hebben aangetoond dat een enkel, specifiek aangemaakt http-verzoek volstaat om op kwetsbare systemen eigen code uit te kunnen voeren.

Oudere versies niet genoemd

De door Microsoft uitgebrachte patch is beschikbaar als security-update voor meerdere versies en varianten van SharePoint. Dit zijn de ondersteunde releases: SharePoint Foundation 2010 met Service Pack 2, SharePoint Foundation 2013 met Service Pack 1, SharePoint Server 2010 met Service Pack 2, SharePoint Server 2013 met Service Pack 1, SharePoint Enterprise Server 2016 en SharePoint Server 2019.

Beaumont merkt in een spontane tweet op, nu na het uitkomen van de VN-hack, dat meer versies kwetsbaar zijn. Hij stelt dat het grote gat ook van toepassing is op het oudere SharePoint 2007, wat nog altijd in gebruik is en daarbij ook vanaf internet bereikbaar is. Doordat dit Microsoft-product echter geen ondersteuning meer geniet, wordt het niet genoemd in security-bulletins. Deze mededelingen hangen in de regel samen met patches, die vanwege supportgebrek geheel niet uitkomen voor de oude 2007-versie. Beaumont geeft niet aan dat de VN nog deze SharePoint-versie zou draaien.