AlertesMaliciel China Chopper affectant les serveurs SharePoint

Numéro : AL19-006
Date : 23 avril 2019

Public

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés. Les destinataires de la présente information peuvent uniquement redistribuer celle-ci au sein de leur organisme respectif.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. À la demande des destinataires, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) offre également une assistance additionnelle concernant la teneur de la présente alerte.

Évaluation

Le Centre pour la cybersécurité pris connaissance d’un vague de compromissions touchant plusieurs versions du serveur Microsoft SharePoint dans ce qui semble constituer une campagne visant à déployer le script WebShell China Chopper. Des experts ont été en mesure de relever bon nombre de systèmes compromis dans les domaines suivants : universités, services publics, industrie lourde, secteur manufacturier et technologies. Les versions de Microsoft SharePoint qui sont visées par la présente alerte sont les suivantes :

  • Microsoft SharePoint Enterprise Server
  • Microsoft SharePoint Foundation 2010 Gold et SP1
  • Microsoft SharePoint Enterprise Server
  • Microsoft SharePoint Enterprise Server

Il est probable que la campagne que nous observons actuellement tire parti de CVE-2019-0604 dans le but de favoriser le déploiement du WebShell. Microsoft a déjà produit des mises à jour de sécurité pour cette vulnérabilité en février et en mars de 2019 ; toutefois, de nombreux systèmes ne sont pas encore à jour.

Mesures recommandées

  • Toutes les installations comprenant Microsoft SharePoint Server devraient recevoir les correctifs d’usage suivant l’installation de la plus récente mise à jour datant du 12 mars 2019; pour ce faire, il suffit de recourir à la fonction Microsoft Update ou de consulter les ressources de Microsoft, notamment le catalogue des mises à jour ou le centre de téléchargement de Microsoft.
  • Lorsque SharePoint ne sert que de solution locale, sur place, il convient tout de même de veiller à ce que le serveur concerné ne soit pas exposé à Internet.

Indicateurs de compromission

Valeurs de hachage

Hachage MD5 : b814532d73c7e5ffd1a2533adc6cfcf8
Hachage SHA1 : dc8e7b7de41cac9ded920c41b272c885e1aec279
Hachage SHA256 : 05108ac3c3d708977f2d679bfa6d2eaf63b371e66428018a68efce4b6a45b4b4
Nom de fichier : pay.aspx

Hachage MD5 : 708544104809ef2776ddc56e04d27ab1
Hachage SHA1 : f0fb0f7553390f203669e53abc16b15e729e5c6f
Hachage SHA256 : b560c3b9b672f42a005bdeae79eb91dfb0dec8dc04bea51f38731692bc995688

Hachage MD5 : 0eebeef32a8f676a1717f134f114c8bd
Hachage SHA1 : 4c3b262b4134366ad0a67b1a2d6378da428d712b
Hachage SHA256 : 7d6812947e7eafa8a4cce84b531f8077f7434dbed4ccdaca64225d1b6a0e8604
Nom de fichier : stylecss.aspx

Adresse IP

114.25.219.100

Documents de référence

Avis de sécurité de Microsoft : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0604 (en anglais)

Article sur ZDI : https://www.zerodayinitiative.com/blog/2019/3/13/cve-2019-0604-details-of-a-microsoft-sharepoint-rce-vulnerability

Information concernant China Chopper : https://cyber.gc.ca/en/guidance/web-shells-china-chopper

Note aux lecteurs

Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. À titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique, le Centre canadien pour la cybersécurité travaille en étroite collaboration avec les ministères du gouvernement du Canada, les propriétaires et les exploitants d’infrastructures essentielles, les entreprises canadiennes et les partenaires internationaux pour intervenir en cas d’incidents de cybersécurité ou atténuer les conséquences qui en découlent. Ce faisant, il offre conseils et soutien d’expert, et coordonne les communications d’information ainsi que les interventions en cas d’incident. Le CCC est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.

Dernière mise à jour: