CVE-2024-38094 olarak izlenen yakın zamanda açıklanan Microsoft SharePoint Uzaktan Kod Yürütme (RCE) güvenlik açığı, kurumsal ağlara ilk erişim elde etmek için kullanılmaktadır.
CVE-2024-38094, Microsoft 365 ile sorunsuz bir şekilde entegre olabilen bir intranet, belge yönetimi ve işbirliği aracı olarak işlev gören yaygın olarak kullanılan bir web tabanlı platform olan Microsoft SharePoint'i etkileyen yüksek şiddetli (CVSS v3.1 puanı: 7.2) RCE Kusurdur. Uygulamalar.
Microsoft, Temmuz Yaması Salı paketinin bir parçası olarak 9 Temmuz 2024'te güvenlik açığını düzeltti ve sorunu "önemli" olarak işaretledi.
Geçen hafta CISA, bilinen sömürülen güvenlik açığı kataloğuna CVE-2024-38094 ekledi, ancak kusurun saldırılarda nasıl kullanıldığını paylaşmadı.
Bu hafta Rapid7'den yeni bir rapor, saldırganların SharePoint kusurundan nasıl yararlandığına ışık tutuyor ve araştırmaya getirildikleri bir ağ ihlalinde kullanıldığını belirtiyor.
İlgili raporu, "Soruşturmamız, yetkilendirmeden bir sunucuya erişen ve ağ boyunca yanal olarak hareket eden ve tüm etki alanını tehlikeye atan bir saldırganı ortaya çıkardı."
"Saldırgan iki hafta boyunca tespit edilmedi. Rapid7, ilk erişim vektörünü, şirket içi SharePoint sunucusunda bir güvenlik açığı olan CVE 2024-38094'ün kullanımı olarak belirledi."
Rapid7 şimdi saldırganların savunmasız bir SharePoint sunucusuna yetkisiz erişim elde etmek ve bir web kabuğu dikmek için CVE-2024-38094 kullandıklarını bildiriyor. Araştırma, sunucunun herkese açık olarak açıklanan bir SharePoint kavram kanıtı kullanılarak kullanıldığını gösterdi.
İlk erişimlerinden yararlanan saldırgan, etki alanı yöneticisi ayrıcalıklarıyla bir Microsoft Exchange hizmet hesabından ödün vererek yüksek erişim elde etti.
Daha sonra, saldırgan, güvenlik savunmalarını engelleyen ve algılamayı engelleyen bir çatışma yaratan ve yanal hareket için itme takmalarını sağlayan bir çatışma yaratan Horoung antivirüsünü kurdu.
Özellikle, saldırgan Huorong antivirüsünü sisteme yüklemek, özel bir hizmet ('sysdiag') kurmak, bir sürücü ('Sysdiag_win10.sys') ve 'Hrsword .exe 'VBS komut dosyası kullanarak.
Bu kurulum, kaynak tahsisi, yüklü sürücüler ve aktif hizmetlerde birden fazla çatışmaya neden oldu ve şirketin meşru antivirüs hizmetlerinin çökmesine neden oldu.
Bir sonraki aşamada, saldırgan kimlik bilgisi hasat için Mimikatz'ı, uzaktan erişim için FRP'yi kullandı ve kalıcılık için planlanan görevler ayarladı.
Algılamayı önlemek için, Windows Defender'ı devre dışı bıraktılar, olay günlüklerini değiştirdiler ve tehlikeye atılan sistemlerde sistem günlüğünü değiştirdiler.
Ağ taraması, ADFS sertifikası oluşturma ve kaba Active Directory biletleri için Everyth.exe, Certiffy.exe ve Kerbrute gibi ek araçlar kullanıldı.
Üçüncü taraf yedeklemeleri de yıkım hedeflendi, ancak saldırganlar bunları tehlikeye atma girişimlerinde başarısız oldular.
Yedeklemeleri silmeye çalışmak, fidye yazılımı saldırılarında tipik olsa da, kolay iyileşmeyi önlemek için Rapid7 veri şifrelemesini gözlemlemedi, bu nedenle saldırının türü bilinmiyor.
Aktif sömürü devam ederken, Haziran 2024'ten bu yana SharePoint güncellemeleri uygulamayan sistem yöneticileri bunu mümkün olan en kısa sürede yapmalıdır.
Cisa, kritik Fortinet RCE kusurunun şimdi saldırılarda sömürüldüğünü söylüyor
Kamusal istismar ile kritik Ivanti RCE kusuru şimdi saldırılarda kullanılan
Kritik İlerleme Whatup RCE Kusur şimdi aktif sömürü altında
Cisa aktif olarak sömürülen Apache devgraph-server hatası konusunda uyarıyor
Ivanti, saldırılarda sömürülen üç CSA sıfır gününü daha uyarıyor
Kaynak: Bleeping Computer