导 读
最近披露的 Microsoft SharePoint 远程代码执行 (RCE) 漏洞(CVE-2024-38094)正被利用来获取对公司网络的初始访问权限。
CVE-2024-38094 是一个高严重性(CVSS v3.1 评分:7.2)RCE 漏洞,影响 Microsoft SharePoint,这是一个广泛使用的基于 Web 的平台,可用作内联网、文档管理和协作工具,可以与 Microsoft 365 应用程序无缝集成。
微软于 2024 年 7 月 9 日作为7 月补丁日更新中部分修复了该漏洞,并将该问题标记为“重要”。
上周,CISA 将CVE-2024-38094添加到已知利用漏洞目录,但并未透露该漏洞是如何在攻击中被利用的。
Rapid7 本周发布的新报告揭示了攻击者如何利用 SharePoint 漏洞,并指出该漏洞被用于他们被带去调查的网络漏洞。
相关报告中写道:“我们的调查发现,一名攻击者未经授权访问了服务器,并在网络中横向移动,危及了整个域。”
“攻击者两周内都未被发现。Rapid7 确定初始访问向量是利用内部 SharePoint 服务器中的漏洞 CVE 2024-38094。”
安装杀毒软件制造冲突
Rapid7 现报告称,攻击者利用 CVE-2024-38094 未经授权访问易受攻击的 SharePoint 服务器并植入 Webshell。调查显示,该服务器被攻击者利用公开披露的 SharePoint POC利用。
攻击者利用其初始访问权限,破坏了具有域管理员权限的 Microsoft Exchange 服务帐户,从而获得了提升的访问权限。
接下来,攻击者安装了一款中国流行的反病毒软件“火绒”,该软件不是用户环境中使用的授权软件。
具体来说,攻击者使用批处理脚本(“hrword install.bat”)在系统上安装 Horoung Antivirus,设置自定义服务(“sysdiag”),执行驱动程序(“sysdiag_win10.sys”),并使用VBS脚本运行“HRSword.exe”。
这种设置导致了资源分配、加载的驱动程序和激活的服务出现多重冲突,最终导致公司合法的防病毒服务崩溃而失去作用。从而使攻击者能够安装 Impacket 进行横向移动。
攻击时间线,来源:Rapid7
在后续阶段,攻击者使用 Mimikatz 进行凭证收集,使用 FRP 进行远程访问,并设置计划任务以实现持久性。
为了避免被发现,他们禁用了 Windows Defender、更改了事件日志并操纵了受感染系统上的系统日志记录。
其他工具(例如 everything.exe、Certify.exe 和 kerbrute)用于网络扫描、ADFS 证书生成和暴力破解 Active Directory 票证。
第三方备份也成为破坏目标,但攻击者未能成功。
尽管试图删除备份在勒索软件攻击中很常见,但为了防止轻易恢复,Rapid7 没有观察到数据加密,因此攻击类型未知。
Rapid7 建议确保 SharePoint 已修补至最新版本。
技术报告:https://www.rapid7.com/blog/post/2024/10/30/investigating-a-sharepoint-compromise-ir-tales-from-the-field/
新闻链接:
https://www.bleepingcomputer.com/news/security/microsoft-sharepoint-rce-bug-exploited-to-breach-corporate-network/
今日安全资讯速递
APT事件
Advanced Persistent Threat
美国和以色列网络安全机构联合发布一份报告,称伊朗黑客攻击入侵了2024法国夏季奥运会相关系统
https://thehackernews.com/2024/11/inside-irans-cyber-playbook-ai-fake.html
疑似乌克兰网络攻击导致俄罗斯城市停车执法瘫痪
https://therecord.media/ukraine-cyberattack-russia-parking-tver
微软警告俄罗斯鱼叉式网络钓鱼攻击针对 100 多个组织
https://www.securityweek.com/microsoft-warns-of-russian-spear-phishing-attacks-targeting-over-100-organizations/
微软警告:黑客利用 Quad7 僵尸网络窃取凭证
https://www.bleepingcomputer.com/news/security/microsoft-chinese-hackers-use-quad7-botnet-to-steal-credentials/
朝鲜APT组织与 Play 勒索软件合作发动重大网络攻击
https://thehackernews.com/2024/10/north-korean-group-collaborates-with.html
Lazarus APT 组织大量利用社会工程技术和生成式人工智能瞄准加密货币投资者
https://securitybrief.co.nz/story/lazarus-apt-group-targets-crypto-investors-with-ai-tactics
黑客利用 CloudScout 工具集窃取云服务会话 Cookie
https://thehackernews.com/2024/10/chinese-hackers-use-cloudscout-toolset.html
新的 LightSpy 间谍软件以增强功能瞄准 iOS
https://www.infosecurity-magazine.com/news/lightspy-spyware-targets-ios/
BeaverTail 恶意软件在针对开发人员的恶意 npm 软件包中再次出现
https://thehackernews.com/2024/10/beavertail-malware-resurfaces-in.html
谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵
https://www.securityweek.com/google-russia-targeting-ukrainian-military-recruits-with-android-windows-malware/
一般威胁事件
General Threat Incidents
购物诈骗蔓延数千个网站,诈骗金额达“数千万美元”
https://therecord.media/shopping-scam-thousands-sites-phishing
暗网帖子曝光后,秘鲁大型银行警告300万客户数据被盗
https://therecord.media/interbank-peru-data-breach
科罗拉多病理学实验室遭 Medusa 勒索软件攻击,影响 180 万人
https://www.govinfosecurity.com/medusa-ransomware-hack-pathology-lab-affects-18-million-a-26695
勒索软件攻击袭击德国药品批发商,扰乱药品供应
https://therecord.media/ransomware-attack-hits-german-pharmaceutical-wholesaler-disruptions
洛杉矶住房管理局确认 Cactus 勒索软件攻击
https://www.bleepingcomputer.com/news/security/la-housing-authority-confirms-breach-claimed-by-cactus-ransomware/
Cyble:新型隐秘 Strela 窃取程序可规避安全工具
https://thecyberexpress.com/new-stealthy-strela-stealer-evades-security/
漏洞事件
Vulnerability Incidents
零点击漏洞可能使数百万Synology NAS设备遭受攻击
https://www.wired.com/story/synology-zero-click-vulnerability/
Azure AI 漏洞允许攻击绕过审核保障措施
https://hackread.com/azure-ai-vulnerabilities-bypass-moderation-safeguards/
近 100 万台存在漏洞的 Fortinet、SonicWall 设备暴露在网络上
https://thecyberexpress.com/vulnerable-fortinet-sonicwall-devices-exposed/
Yahoo 披露 NetIQ iManager 漏洞,可导致远程代码执行
https://www.securityweek.com/yahoo-discloses-netiq-imanager-flaws-allowing-remote-code-execution/
qBittorrent 修复了导致用户 14 年来遭受 MitM 攻击的漏洞
https://www.bleepingcomputer.com/news/security/qbittorrent-fixes-flaw-exposing-users-to-mitm-attacks-for-14-years/
黑客瞄准 PTZ 摄像机中的关键零日漏洞
https://www.bleepingcomputer.com/news/security/hackers-target-critical-zero-day-vulnerability-in-ptz-cameras/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):SharePoint RCE 漏洞被用来破坏企业网络,攻击者安装火绒杀毒软件制造冲突
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论