Zranitelnost SharePointu umožňuje vzdálené spuštění kódu

Zranitelnost Microsoft SharePoint, označená jako CVE-2024-38094, se stala terčem útoků zaměřených na získání neoprávněného přístupu do firemních sítí. Tato kritická zranitelnost byla opravena 9. července 2024 v rámci pravidelné aktualizace Patch Tuesday a byla označena jako „důležitá“ s CVSS skóre 7.2.

Zranitelnost CVE-2024-38094 umožňuje vzdálené spuštění kódu (RCE) na serverech SharePoint, což útočníkům poskytuje bránu k počátečnímu přístupu do sítě. Společnost Rapid7 uvedla, že jejich analýza ukázala, jak útočníci zneužili tuto zranitelnost k instalaci webshellu a následně kompromitovali účet Microsoft Exchange s administrátorskými právy. To jim umožnilo postoupit v síti a rozšířit svůj vliv na celý doménový systém.

Jedním z klíčových aspektů útoku bylo použití nástroje Horoung Antivirus, který útočníci nainstalovali, aby vytvořili konflikty v běžících bezpečnostních službách a narušili jejich funkčnost. Tento krok umožnil útočníkům nasadit framework Impacket pro laterální pohyb, což je běžná technika pro pohyb v síti a eskalaci přístupových práv.

Útočníci použili dávkový skript k instalaci antiviru a jeho aktivaci, což vedlo k tomu, že legitimní bezpečnostní služby byly vyřazeny z provozu. Tento zásah umožnil dalšímu nasazení nástrojů, jako je Mimikatz pro sběr přihlašovacích údajů a FRP pro vzdálený přístup.

Pro lepší utajení útočníci deaktivovali Windows Defender, manipulovali s protokoly událostí a měnili systémové záznamy. K průzkumu sítě použili nástroje jako everything.exe a kerbrute pro útoky hrubou silou na Active Directory. Kromě toho se pokusili zničit zálohy třetích stran, avšak v tomto kroku nebyli úspěšní.

Podle společnosti Rapid7 nebylo zaznamenáno šifrování dat, což by ukazovalo na klasický ransomware útok, ale povaha útoku zůstává nejasná. V každém případě útočníci využili technik typických pro ransomwarové operace k narušení obnovy systémů po útoku.

Správci systémů, kteří od června 2024 neaplikovali aktualizace pro SharePoint, by měli urychleně provést patřičné updaty, aby předešli potenciálnímu zneužití zranitelnosti. Pravidelné aktualizace a monitorování aktivit na síti jsou nezbytné pro minimalizaci rizika podobných útoků a ochranu před technikami, které se zaměřují na obcházení běžných obranných mechanismů.

Zdroj ilustračního obrázku: Markus Spiske on Unsplash

Zdroj: bleepingcomputer.com