据媒体报道,微软SharePoint存在远程代码口头(RCE)破绽,破绽编号CVE-2024-38094(CVSS评分:7.2) ,并且正在被黑客应用,以此失掉对企业系统的初始访问权限。
微软SharePoint是一个盛行的单干平台,与微软365无缝集成 ,准许企业创立网站、治理文档、促成团队单干,并提供一系列工具来智能化业务流程,提供了细粒度的控制和复原配置,确保数据的安保性。企业可以经过活期备份来防止数据失落,并确保在出现配件缺点或其余异常事情时能够迅速复原数据。
2024年7月9日,微软星期二补丁月已发布该破绽修复措施,并将其标志为“关键”。10月底,CISA将CVE-2024-38094增加到已知被应用破绽目录中,但没有分享该破绽在攻打中是如何被应用的。
近日,安保公司Rapid7发布了一份安保报告,说明了攻打者是如何应用SharePoint破绽入侵企业,并取得系统访问权限。Rapid7示意,已确定初始访问向量是对本地SharePoint主机中破绽CVE 2024-38094的应用。
后来,攻打者应用CVE-2024-38094破绽地下披露的PoC取得了对主机的访问权限,并植入webshell。随后,该攻打者入侵了一个具备域治理员权限的微软Exchange服务账户,以此取得更初级别的访问权限。
接上去,攻打者在指标系统中装置了未授权的杀毒软件(例如火绒,海外未被系统环境信赖)。无心思的中央来了,因为该杀毒软件并没有被系统信赖,造成与微软安保防护体系形成抵触,最终结果是微软防护体系会因此解体。此时攻打者可以装置Impacket(红队人员内网横向经常使用频率最多的工具之一 )启动横向移动。
此类攻打模式是应用未授权的杀毒软件和安保防护体系之间的抵触,从而造成资源调配和驱动程序加载不可顺利启动,最终成功安保防护成果被削弱,甚至是解体,让攻打者可以冷静启动后续攻打行为(例如横向移动)。
在接上去的阶段,攻打者经常使用Mimikatz启动凭证搜集,FRP启动远程访问,并设置方案义务以成功耐久性。为了防止检测,他们禁用了Windows Defender,更改了事情日志,并操纵了被斗争系统上的系统日志记载。
其余工具如everything.exe、Certify.exe和kerbrute被用于网络扫描、ADFS证书生成和暴力破解Active Directory票据。虽然试图擦除备份在敲诈软件攻打中很典型,但Rapid7并未发现数据被加码的迹象,因此不能去确定是敲诈攻打。
随着相似攻打行为的出现,微软倡导未更新SharePoint的用户尽快成功破绽修复,免得形成愈减轻大的损失。