Μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) του Microsoft SharePoint που αποκαλύφθηκε πρόσφατα, η οποία παρακολουθείται ως CVE-2024-38094, γίνεται αντικείμενο εκμετάλλευσης για την απόκτηση αρχικής πρόσβασης σε εταιρικά δίκτυα.
Το CVE-2024-38094 είναι ένα ελάττωμα RCE υψηλής σοβαρότητας (βαθμολογία CVSS v3.1: 7,2) που επηρεάζει το Microsoft SharePoint, μια ευρέως χρησιμοποιούμενη πλατφόρμα web που λειτουργεί ως εργαλείο intranet, διαχείρισης εγγράφων και συνεργασίας που μπορεί να ενσωματωθεί απρόσκοπτα με το Microsoft 365 εφαρμογές.
Η Microsoft διόρθωσε το θέμα ευπάθειας στις 9 Ιουλίου 2024, ως μέρος του πακέτου του Ιουλίου Patch Tuesday, επισημαίνοντας το ζήτημα ως “σημαντικό”.
Την περασμένη εβδομάδα, πρόσθεσε η CISA CVE-2024-38094 στον Κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών, αλλά δεν κοινοποίησε τον τρόπο εκμετάλλευσης του ελαττώματος στις επιθέσεις.
Μια νέα αναφορά από το Rapid7 αυτή την εβδομάδα ρίχνει φως στον τρόπο με τον οποίο οι εισβολείς εκμεταλλεύονται το ελάττωμα του SharePoint, δηλώνοντας ότι χρησιμοποιήθηκε σε μια παραβίαση δικτύου που κλήθηκαν να διερευνήσουν.
“Η έρευνά μας αποκάλυψε έναν εισβολέα που είχε πρόσβαση σε έναν διακομιστή χωρίς εξουσιοδότηση και μετακινήθηκε πλευρικά στο δίκτυο, θέτοντας σε κίνδυνο ολόκληρο τον τομέα.” διαβάζει η σχετική έκθεση.
“Ο εισβολέας παρέμεινε απαρατήρητος για δύο εβδομάδες. Το Rapid7 προσδιόρισε ότι το αρχικό διάνυσμα πρόσβασης ήταν η εκμετάλλευση μιας ευπάθειας, του CVE 2024-38094, εντός του διακομιστή SharePoint εσωτερικής εγκατάστασης.”
Χρήση AV για να μειώσει την ασφάλεια
Το Rapid7 αναφέρει τώρα ότι οι εισβολείς χρησιμοποίησαν το CVE-2024-38094 για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε έναν ευάλωτο διακομιστή του SharePoint και να δημιουργήσουν ένα κέλυφος ιστού. Η έρευνα έδειξε ότι ο διακομιστής έγινε αντικείμενο εκμετάλλευσης χρησιμοποιώντας ένα κοινόχρηστο SharePoint εκμετάλλευση απόδειξης της ιδέας.
Αξιοποιώντας την αρχική του πρόσβαση, ο εισβολέας παραβίασε έναν λογαριασμό υπηρεσίας Microsoft Exchange με δικαιώματα διαχειριστή τομέα, αποκτώντας αυξημένη πρόσβαση.
Στη συνέχεια, ο εισβολέας εγκατέστησε το Horoung Antivirus, το οποίο δημιούργησε μια σύγκρουση που απενεργοποίησε τις άμυνες ασφαλείας και εμπόδισε την ανίχνευση, επιτρέποντάς του να εγκαταστήσει το Impacket για πλευρική κίνηση.
Συγκεκριμένα, ο εισβολέας χρησιμοποίησε ένα σενάριο δέσμης (‘hrword install.bat’) για να εγκαταστήσει το Huorong Antivirus στο σύστημα, να δημιουργήσει μια προσαρμοσμένη υπηρεσία (‘sysdiag’), να εκτελέσει ένα πρόγραμμα οδήγησης (‘sysdiag_win10.sys’) και να εκτελέσει το ‘HRSword .exe’ χρησιμοποιώντας μια δέσμη ενεργειών VBS.
Αυτή η ρύθμιση προκάλεσε πολλαπλές διενέξεις στην κατανομή πόρων, τα φορτωμένα προγράμματα οδήγησης και τις ενεργές υπηρεσίες, με αποτέλεσμα οι νόμιμες υπηρεσίες προστασίας από ιούς της εταιρείας να διακοπούν και να καταστούν αδύναμες.
Πηγή: Rapid7
Στο επόμενο στάδιο, ο εισβολέας χρησιμοποίησε το Mimikatz για συλλογή διαπιστευτηρίων, το FRP για απομακρυσμένη πρόσβαση και δημιούργησε προγραμματισμένες εργασίες για επιμονή.
Για να αποφύγουν τον εντοπισμό, απενεργοποίησαν το Windows Defender, άλλαξαν τα αρχεία καταγραφής συμβάντων και χειρίστηκαν την καταγραφή του συστήματος στα παραβιασμένα συστήματα.
Πρόσθετα εργαλεία όπως το Everything.exe, το Certify.exe και το kerbrute χρησιμοποιήθηκαν για σάρωση δικτύου, δημιουργία πιστοποιητικών ADFS και εισιτήρια Active Directory με επιβολή brute.
Τα αντίγραφα ασφαλείας τρίτων στόχευαν επίσης για καταστροφή, αλλά οι επιτιθέμενοι απέτυχαν στις προσπάθειές τους να τα συμβιβάσουν.
Αν και η απόπειρα διαγραφής αντιγράφων ασφαλείας είναι τυπική σε επιθέσεις ransomware, για να αποτραπεί η εύκολη ανάκτηση, το Rapid7 δεν παρατήρησε κρυπτογράφηση δεδομένων, επομένως ο τύπος της επίθεσης είναι άγνωστος.
Με την ενεργή εκμετάλλευση σε εξέλιξη, οι διαχειριστές συστημάτων που δεν έχουν εφαρμόσει ενημερώσεις του SharePoint από τον Ιούνιο του 2024 πρέπει να το κάνουν το συντομότερο δυνατό.
VIA: bleepingcomputer.com
