查看原文
其他

微软SharePoint RCE漏洞,被利用入侵企业网络

E安全
2024-12-09


E安全消息,最新披露微软SharePoint远程代码执行(RCE)漏洞:CVE-2024-38094,被利用于企业网络初始访问。


CVE-2024-38094是一个高严重性(CVSS v3.1得分:7.2)的RCE漏洞,影响微软SharePoint,这个Web平台被广泛使用,作为内部网、文档管理和协作工具,可以与Microsoft 365应用程序无缝集成。


SharePoint漏洞网络入侵


微软在2024年7月9日修复了这个漏洞,作为7月补丁星期二包的一部分,将这个问题标记为“重要”。


上周,CISA将CVE-2024-38094添加到已知被利用漏洞目录中,但没有分享这个漏洞是如何在攻击中被利用的。


本周,网络安全公司Rapid7新报告揭示了攻击者如何利用SharePoint漏洞,这个漏洞被用于他们被邀请调查的一起网络入侵事件中。


“我们的调查发现一个未经授权攻击者访问服务器,并在网络中横向移动,破坏了整个域。”相关报告写道。


“攻击者在两周内未被发现。Rapid7确定初始访问媒介是利用本地SharePoint服务器中的漏洞CVE 2024-38094。”


利用反病毒软件破坏安全性


Rapid7报告称,攻击者使用CVE-2024-38094未经授权访问易受攻击的SharePoint服务器并植入webshell。调查显示,服务器是使用公开披露的SharePoint概念验证漏洞利用来攻击服务器。


利用他们的初始访问,攻击者入侵了具有域管理员权限的Microsoft Exchange服务账户,获得了提升的访问权限。


接下来,攻击者安装了Horoung Antivirus,这造成了冲突,禁用了安全防御并损害了检测,使他们能够安装Impacket进行横向移动。


具体来说,攻击者使用批处理脚本('hrword install.bat')在系统上安装Horoung Antivirus,设置自定义服务('sysdiag'),执行驱动程序('sysdiag_win10.sys'),并使用VBS脚本运行'HRSword.exe'。


这种设置导致资源分配、加载的驱动程序和活跃服务发生多重冲突,导致公司的合法反病毒服务崩溃,变得无能为力。

攻击时间线来源:Rapid7


接下来,攻击者使用Mimikatz进行凭证收集,FRP用于远程访问,并设置了计划任务以保持持续性。


为避免被发现,他们禁用了Windows Defender,更改了事件日志,并在受感染的系统上操纵了系统日志记录。


使用everything.exe、Certify.exe和kerbrute等工具,用于网络扫描、ADFS证书生成和暴力破解Active Directory票据。


第三方备份也成为破坏的目标,但攻击者未能成功破坏这些。


尽管在勒索软件攻击中,尝试擦除备份文件是一种常见的行为,目的是为了防止受害者轻松恢复数据。但在这次事件中,Rapid7并没有观察到数据被加密,因此攻击类型尚不清楚。


由于漏洞正在积极被利用,自2024年6月以来还没有应用SharePoint更新的系统管理员必须尽快进行更新。



精彩推荐Windows 11任务管理器Bug,显示0进程

2024.11.4

CyberPanel漏洞,超两万个服务器遭PSAUX勒索软件攻击

2024.11.1

Redline、Meta信息窃取恶意软件被警方查获

2024.10.31


注:本文由E安全编译报道,转载请联系授权并注明来源。

修改于
继续滑动看下一个
E安全
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存