今天小編分享的互聯網經驗:Microsoft SharePoint RCE 漏洞可被利用來破壞公司網絡,歡迎閱讀。
最近披露的 Microsoft SharePoint 遠程代碼執行 ( RCE ) 漏洞(編号為 CVE-2024-38094)正被用來獲取對企業網絡的初始訪問權限。
CVE-2024-38094 是一個高嚴重性(CVSS v3.1 評分:7.2)RCE 漏洞,影響 Microsoft SharePoint,這是一個廣泛使用的基于 Web 的平台,用作内聯網、文檔管理和協作工具,可以與 Microsoft 365 無縫集成應用程式。
微軟于 2024 年 7 月修復了該漏洞,作為 7 月補丁星期二包的一部分,将該問題标記為 " 重要 "。
上周,CISA 将 CVE-2024-38094 添加到已知被利用的漏洞目錄中,但沒有透露該漏洞是如何在攻擊中被利用的。
Rapid7 發布的一份新報告揭示了攻擊者如何利用 SharePoint 漏洞,稱該漏洞被用于調查他們調查的網絡漏洞。
相關報告中寫道:" 我們的調查發現,一名攻擊者未經授權訪問了伺服器,并在網絡中橫向移動,從而損害了整個網域。"
攻擊者在兩周内仍未被發現。Rapid7 确定初始訪問向量是利用本地 SharePoint 伺服器内的漏洞 CVE 2024-38094。
使用 AV 損害安全
Rapid7 現在報告稱,攻擊者利用 CVE-2024-38094 未經授權訪問易受攻擊的 SharePoint 伺服器并植入 Webshell。
調查顯示,該伺服器是通過公開披露的 SharePoint 概念驗證漏洞被利用的。攻擊者利用其初始訪問權限,破壞了具有網域管理員權限的 Microsoft Exchange 服務帳戶,從而獲得了更高的訪問權限。接下來,攻擊者安裝了 Horoung Antivirus,這會造成衝突,導致安全防御失效并削弱檢測能力,從而允許他們安裝 Impacket 進行橫向移動。
具體來說,攻擊者使用批處理腳本("hrword install.bat")在系統上安裝 Huorong Antivirus,設定自定義服務("sysdiag"),執行驅動程式("sysdiag_win10.sys"),并運行 "HRSword" .exe' 使用 VBS 腳本。
這種設定導致了資源分配、加載驅動程式和活動服務等方面的多重衝突,導致該公司的合法防病毒服務崩潰而無能為力。
攻擊的時間軸
在接下來的階段,攻擊者使用 Mimikatz 進行憑證收集,使用 FRP 進行遠程訪問,并設定計劃任務進行持久化。
為了避免被發現,他們禁用了 Windows Defender、更改了事件日志并操縱了受感染系統上的系統日志記錄。
everything.exe、Certify.exe 和 kerbrute 等其他工具用于網絡掃描、ADFS 證書生成和暴力破解 Active Directory 票證。
第三方備份也成為破壞的目标,但攻擊者試圖破壞這些備份卻失敗了。
盡管嘗試擦除備份是勒索軟體攻擊中的典型做法,為了防止輕松恢復,Rapid7 沒有觀察到數據加密,因此攻擊類型未知。
随着主動利用的進行,自 2024 年 6 月以來未應用 SharePoint 更新的系統管理員必須盡快執行此操作。
