Наскоро разкритата уязвимост на Microsoft SharePoint за отдалечено изпълнение на код (RCE), проследена като CVE-2024-38094, се използва за получаване на първоначален достъп до корпоративни мрежи.
CVE-2024-38094 е недостатък с висока степен на опасност (CVSS v3.1 score: 7.2) RCE, който засяга Microsoft SharePoint – широко използвана уеб базирана платформа, функционираща като интранет, инструмент за управление на документи и сътрудничество, който може безпроблемно да се интегрира с приложенията на Microsoft 365.
Microsoft отстрани уязвимостта на 9 юли 2024 г. като част от пакета July Patch Tuesday, като отбеляза проблема като „важен“.
Миналата седмица CISA добави CVE-2024-38094 в каталога на известните експлоатирани уязвимости, но не сподели как недостатъкът е бил използван при атаки.
Нов доклад на Rapid7 от тази седмица хвърля светлина върху начина, по който нападателите експлоатират дефекта в SharePoint, като посочва, че той е бил използван при пробив в мрежата, който са били привлечени да разследват.
„Нашето разследване разкри атакуващ, който получи достъп до сървър без оторизация и се придвижи странично в мрежата, компрометирайки целия домейн“, се казва в съответния доклад.
„Атакуващият остана неразкрит в продължение на две седмици. Rapid7 установи, че първоначалният вектор за достъп е използването на уязвимост, CVE 2024-38094, в рамките на локалния SharePoint сървър.“
Сега Rapid7 съобщава, че нападателите са използвали CVE-2024-38094, за да получат неоторизиран достъп до уязвим SharePoint сървър и да заложат webshell. Разследването показа, че сървърът е бил експлоатиран с помощта на публично разкрит експлойт за проверка на концепцията на SharePoint.
Използвайки първоначалния си достъп, нападателят е компрометирал служебен акаунт на Microsoft Exchange с привилегии на администратор на домейн, получавайки повишен достъп.
След това атакуващият е инсталирал антивирусната програма Horoung Antivirus, която е създала конфликт, който е деактивирал защитите за сигурност и е влошил откриването, позволявайки му да инсталира Impacket за странично придвижване.
По-конкретно, нападателят е използвал пакетния скрипт („hrword install.bat“), за да инсталира Huoung Antivirus на системата, да създаде потребителска услуга („sysdiag“), да изпълни драйвер („sysdiag_win10.sys“) и да стартира „HRSword.exe“ с помощта на VBS скрипт.
Тази настройка предизвика множество конфликти в разпределението на ресурсите, заредените драйвери и активните услуги, което доведе до срив на легитимните антивирусни услуги на компанията и ги направи безпомощни.
На следващия етап нападателят е използвал Mimikatz за събиране на удостоверения, FRP за отдалечен достъп и е създал планирани задачи за запазване на данните.
За да избегне откриването, той деактивира Windows Defender, променя дневниците за събития и манипулира системните записи в компрометираните системи.
Допълнителни инструменти като everything.exe, Certify.exe и kerbrute са били използвани за сканиране на мрежата, генериране на ADFS сертификати и грубо насилване на тикети за Active Directory.
Резервните копия на трети страни също са били насочени за унищожаване, но нападателите не са успели да ги компрометират.
Въпреки че опитите за изтриване на резервни копия са типични за атаките с цел откуп, за да се предотврати лесното им възстановяване, при Rapid7 не е наблюдавано криптиране на данни, така че видът на атаката е неизвестен.
Тъй като е в ход активна експлоатация, системните администратори, които не са прилагали актуализации на SharePoint от юни 2024 г. насам, трябва да го направят възможно най-скоро.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.