Търсене
Close this search box.

Наскоро разкритата уязвимост на Microsoft SharePoint за отдалечено изпълнение на код (RCE), проследена като CVE-2024-38094, се използва за получаване на първоначален достъп до корпоративни мрежи.

CVE-2024-38094 е недостатък с висока степен на опасност (CVSS v3.1 score: 7.2) RCE, който засяга Microsoft SharePoint – широко използвана уеб базирана платформа, функционираща като интранет, инструмент за управление на документи и сътрудничество, който може безпроблемно да се интегрира с приложенията на Microsoft 365.

Microsoft отстрани уязвимостта на 9 юли 2024 г. като част от пакета July Patch Tuesday, като отбеляза проблема като „важен“.

Миналата седмица CISA добави CVE-2024-38094 в каталога на известните експлоатирани уязвимости, но не сподели как недостатъкът е бил използван при атаки.

Нов доклад на Rapid7 от тази седмица хвърля светлина върху начина, по който нападателите експлоатират дефекта в SharePoint, като посочва, че той е бил използван при пробив в мрежата, който са били привлечени да разследват.

„Нашето разследване разкри атакуващ, който получи достъп до сървър без оторизация и се придвижи странично в мрежата, компрометирайки целия домейн“, се казва в съответния доклад.

„Атакуващият остана неразкрит в продължение на две седмици. Rapid7 установи, че първоначалният вектор за достъп е използването на уязвимост, CVE 2024-38094, в рамките на локалния SharePoint сървър.“

Използване на антивирусни средства за влошаване на сигурността

Сега Rapid7 съобщава, че нападателите са използвали CVE-2024-38094, за да получат неоторизиран достъп до уязвим SharePoint сървър и да заложат webshell. Разследването показа, че сървърът е бил експлоатиран с помощта на публично разкрит експлойт за проверка на концепцията на SharePoint.

Използвайки първоначалния си достъп, нападателят е компрометирал служебен акаунт на Microsoft Exchange с привилегии на администратор на домейн, получавайки повишен достъп.

След това атакуващият е инсталирал антивирусната програма Horoung Antivirus, която е създала конфликт, който е деактивирал защитите за сигурност и е влошил откриването, позволявайки му да инсталира Impacket за странично придвижване.

По-конкретно, нападателят е използвал пакетния скрипт („hrword install.bat“), за да инсталира Huoung Antivirus на системата, да създаде потребителска услуга („sysdiag“), да изпълни драйвер („sysdiag_win10.sys“) и да стартира „HRSword.exe“ с помощта на VBS скрипт.

Тази настройка предизвика множество конфликти в разпределението на ресурсите, заредените драйвери и активните услуги, което доведе до срив на легитимните антивирусни услуги на компанията и ги направи безпомощни.

На следващия етап нападателят е използвал Mimikatz за събиране на удостоверения, FRP за отдалечен достъп и е създал планирани задачи за запазване на данните.

За да избегне откриването, той деактивира Windows Defender, променя дневниците за събития и манипулира системните записи в компрометираните системи.

Допълнителни инструменти като everything.exe, Certify.exe и kerbrute са били използвани за сканиране на мрежата, генериране на ADFS сертификати и грубо насилване на тикети за Active Directory.

Резервните копия на трети страни също са били насочени за унищожаване, но нападателите не са успели да ги компрометират.

Въпреки че опитите за изтриване на резервни копия са типични за атаките с цел откуп, за да се предотврати лесното им възстановяване, при Rapid7 не е наблюдавано криптиране на данни, така че видът на атаката е неизвестен.

Тъй като е в ход активна експлоатация, системните администратори, които не са прилагали актуализации на SharePoint от юни 2024 г. насам, трябва да го направят възможно най-скоро.

Източник: По материали от Интернет

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
Бъдете социални
Още по темата
11/12/2024

Atlassian и Splunk кърпят ...

Във вторник Atlassian и Splunk обявиха...
11/12/2024

SAP обяви пускането на 13 ...

Производителят на корпоративен софтуер SAP обяви...
10/12/2024

Пач вторник: Редмънд закърп...

Софтуерният гигант Microsoft разпространи във вторник...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!