Наскоро разкритата уязвимост на Microsoft SharePoint за отдалечено изпълнение на код (RCE), проследена като CVE-2024-38094, се използва за получаване на първоначален достъп до корпоративни мрежи.
CVE-2024-38094 е недостатък с висока степен на опасност (CVSS v3.1 score: 7.2) RCE, който засяга Microsoft SharePoint – широко използвана уеб базирана платформа, функционираща като интранет, инструмент за управление на документи и сътрудничество, който може безпроблемно да се интегрира с приложенията на Microsoft 365.
Microsoft отстрани уязвимостта на 9 юли 2024 г. като част от пакета July Patch Tuesday, като отбеляза проблема като „важен“.
Миналата седмица CISA добави CVE-2024-38094 в каталога на известните експлоатирани уязвимости, но не сподели как недостатъкът е бил използван при атаки.
Нов доклад на Rapid7 от тази седмица хвърля светлина върху начина, по който нападателите експлоатират дефекта в SharePoint, като посочва, че той е бил използван при пробив в мрежата, който са били привлечени да разследват.
„Нашето разследване разкри атакуващ, който получи достъп до сървър без оторизация и се придвижи странично в мрежата, компрометирайки целия домейн“, се казва в съответния доклад.
„Атакуващият остана неразкрит в продължение на две седмици. Rapid7 установи, че първоначалният вектор за достъп е използването на уязвимост, CVE 2024-38094, в рамките на локалния SharePoint сървър.“
Използване на антивирусни средства за влошаване на сигурността
Сега Rapid7 съобщава, че нападателите са използвали CVE-2024-38094, за да получат неоторизиран достъп до уязвим SharePoint сървър и да заложат webshell. Разследването показа, че сървърът е бил експлоатиран с помощта на публично разкрит експлойт за проверка на концепцията на SharePoint.
Използвайки първоначалния си достъп, нападателят е компрометирал служебен акаунт на Microsoft Exchange с привилегии на администратор на домейн, получавайки повишен достъп.
След това атакуващият е инсталирал антивирусната програма Horoung Antivirus, която е създала конфликт, който е деактивирал защитите за сигурност и е влошил откриването, позволявайки му да инсталира Impacket за странично придвижване.
По-конкретно, нападателят е използвал пакетния скрипт („hrword install.bat“), за да инсталира Huoung Antivirus на системата, да създаде потребителска услуга („sysdiag“), да изпълни драйвер („sysdiag_win10.sys“) и да стартира „HRSword.exe“ с помощта на VBS скрипт.
Тази настройка предизвика множество конфликти в разпределението на ресурсите, заредените драйвери и активните услуги, което доведе до срив на легитимните антивирусни услуги на компанията и ги направи безпомощни.
На следващия етап нападателят е използвал Mimikatz за събиране на удостоверения, FRP за отдалечен достъп и е създал планирани задачи за запазване на данните.
За да избегне откриването, той деактивира Windows Defender, променя дневниците за събития и манипулира системните записи в компрометираните системи.
Допълнителни инструменти като everything.exe, Certify.exe и kerbrute са били използвани за сканиране на мрежата, генериране на ADFS сертификати и грубо насилване на тикети за Active Directory.
Резервните копия на трети страни също са били насочени за унищожаване, но нападателите не са успели да ги компрометират.
Въпреки че опитите за изтриване на резервни копия са типични за атаките с цел откуп, за да се предотврати лесното им възстановяване, при Rapid7 не е наблюдавано криптиране на данни, така че видът на атаката е неизвестен.
Тъй като е в ход активна експлоатация, системните администратори, които не са прилагали актуализации на SharePoint от юни 2024 г. насам, трябва да го направят възможно най-скоро.
