安全消息,最新披露微軟SharePoint遠(yuǎn)程代碼執(zhí)行(RCE)漏洞:CVE-2024-38094��,被利用于企業(yè)網(wǎng)絡(luò)初始訪問����。
CVE-2024-38094是一個(gè)高嚴(yán)重性(CVSS v3.1得分:7.2)的RCE漏洞��,影響微軟SharePoint���,這個(gè)Web平臺(tái)被廣泛使用�,作為內(nèi)部網(wǎng)、文檔管理和協(xié)作工具�����,可以與Microsoft 365應(yīng)用程序無縫集成�����。
SharePoint漏洞網(wǎng)絡(luò)入侵
微軟在2024年7月9日修復(fù)了這個(gè)漏洞���,作為7月補(bǔ)丁星期二包的一部分�,將這個(gè)問題標(biāo)記為“重要”�。
上周,CISA將CVE-2024-38094添加到已知被利用漏洞目錄中�,但沒有分享這個(gè)漏洞是如何在攻擊中被利用的。
本周�,網(wǎng)絡(luò)安全公司Rapid7新報(bào)告揭示了攻擊者如何利用SharePoint漏洞��,這個(gè)漏洞被用于他們被邀請(qǐng)調(diào)查的一起網(wǎng)絡(luò)入侵事件中�����。
“我們的調(diào)查發(fā)現(xiàn)一個(gè)未經(jīng)授權(quán)攻擊者訪問服務(wù)器����,并在網(wǎng)絡(luò)中橫向移動(dòng)��,破壞了整個(gè)域����。”相關(guān)報(bào)告寫道。
“攻擊者在兩周內(nèi)未被發(fā)現(xiàn)�����。Rapid7確定初始訪問媒介是利用本地SharePoint服務(wù)器中的漏洞CVE 2024-38094�。”
利用反病毒軟件破壞安全性
Rapid7報(bào)告稱,攻擊者使用CVE-2024-38094未經(jīng)授權(quán)訪問易受攻擊的SharePoint服務(wù)器并植入webshell���。調(diào)查顯示���,服務(wù)器是使用公開披露的SharePoint概念驗(yàn)證漏洞利用來攻擊服務(wù)器�����。
利用他們的初始訪問��,攻擊者入侵了具有域管理員權(quán)限的Microsoft Exchange服務(wù)賬戶���,獲得了提升的訪問權(quán)限。
接下來�,攻擊者安裝了Horoung Antivirus��,這造成了沖突����,禁用了安全防御并損害了檢測(cè),使他們能夠安裝Impacket進(jìn)行橫向移動(dòng)����。
具體來說,攻擊者使用批處理腳本('hrword install.bat')在系統(tǒng)上安裝Huorong Antivirus����,設(shè)置自定義服務(wù)('sysdiag'),執(zhí)行驅(qū)動(dòng)程序('sysdiag_win10.sys')�����,并使用VBS腳本運(yùn)行'HRSword.exe'。
這種設(shè)置導(dǎo)致資源分配����、加載的驅(qū)動(dòng)程序和活躍服務(wù)發(fā)生多重沖突,導(dǎo)致公司的合法反病毒服務(wù)崩潰�,變得無能為力。
攻擊時(shí)間線
來源:Rapid7
接下來��,攻擊者使用Mimikatz進(jìn)行憑證收集�,F(xiàn)RP用于遠(yuǎn)程訪問,并設(shè)置了計(jì)劃任務(wù)以保持持續(xù)性����。
為避免被發(fā)現(xiàn),他們禁用了Windows Defender�,更改了事件日志,并在受感染的系統(tǒng)上操縱了系統(tǒng)日志記錄���。
使用everything.exe��、Certify.exe和kerbrute等工具�,用于網(wǎng)絡(luò)掃描���、ADFS證書生成和暴力破解Active Directory票據(jù)��。
第三方備份也成為破壞的目標(biāo)�,但攻擊者未能成功破壞這些。
盡管在勒索軟件攻擊中���,嘗試擦除備份文件是一種常見的行為�����,目的是為了防止受害者輕松恢復(fù)數(shù)據(jù)��。但在這次事件中�,Rapid7并沒有觀察到數(shù)據(jù)被加密�,因此攻擊類型尚不清楚�。
由于漏洞正在積極被利用,自2024年6月以來還沒有應(yīng)用SharePoint更新的系統(tǒng)管理員必須盡快進(jìn)行更新�����。
來源:E安全
在線咨詢
在線咨詢
0371-63319761