SharePoint RCE 漏洞被用来破坏企业网络,攻击者安装火绒杀毒软件制造冲突

admin 2024年11月4日10:16:01评论28 views字数 4108阅读13分41秒阅读模式

导 

最近披露的 Microsoft SharePoint 远程代码执行 (RCE) 漏洞(CVE-2024-38094)正被利用来获取对公司网络的初始访问权限。

SharePoint RCE 漏洞被用来破坏企业网络,攻击者安装火绒杀毒软件制造冲突

CVE-2024-38094 是一个高严重性(CVSS v3.1 评分:7.2)RCE 漏洞,影响 Microsoft SharePoint,这是一个广泛使用的基于 Web 的平台,可用作内联网、文档管理和协作工具,可以与 Microsoft 365 应用程序无缝集成。

微软于 2024 年 7 月 9 日作为7 月补丁日更新中部分修复了该漏洞,并将该问题标记为“重要”。

上周,CISA 将CVE-2024-38094添加到已知利用漏洞目录,但并未透露该漏洞是如何在攻击中被利用的。

Rapid7 本周发布的新报告揭示了攻击者如何利用 SharePoint 漏洞,并指出该漏洞被用于他们被带去调查的网络漏洞。

相关报告中写道:“我们的调查发现,一名攻击者未经授权访问了服务器,并在网络中横向移动,危及了整个域。”

“攻击者两周内都未被发现。Rapid7 确定初始访问向量是利用内部 SharePoint 服务器中的漏洞 CVE 2024-38094。”

安装杀毒软件制造冲突

Rapid7 现报告称,攻击者利用 CVE-2024-38094 未经授权访问易受攻击的 SharePoint 服务器并植入 Webshell。调查显示,该服务器被攻击者利用公开披露的 SharePoint POC利用。

攻击者利用其初始访问权限,破坏了具有域管理员权限的 Microsoft Exchange 服务帐户,从而获得了提升的访问权限。

接下来,攻击者安装了一款中国流行的反病毒软件“火绒”,该软件不是用户环境中使用的授权软件。

具体来说,攻击者使用批处理脚本(“hrword install.bat”)在系统上安装 Horoung Antivirus,设置自定义服务(“sysdiag”),执行驱动程序(“sysdiag_win10.sys”),并使用VBS脚本运行“HRSword.exe”。

这种设置导致了资源分配、加载的驱动程序和激活的服务出现多重冲突,最终导致公司合法的防病毒服务崩溃而失去作用。从而使攻击者能够安装 Impacket 进行横向移动。

SharePoint RCE 漏洞被用来破坏企业网络,攻击者安装火绒杀毒软件制造冲突

攻击时间线,来源:Rapid7

在后续阶段,攻击者使用 Mimikatz 进行凭证收集,使用 FRP 进行远程访问,并设置计划任务以实现持久性。

为了避免被发现,他们禁用了 Windows Defender、更改了事件日志并操纵了受感染系统上的系统日志记录。

其他工具(例如 everything.exe、Certify.exe 和 kerbrute)用于网络扫描、ADFS 证书生成和暴力破解 Active Directory 票证。

第三方备份也成为破坏目标,但攻击者未能成功。

尽管试图删除备份在勒索软件攻击中很常见,但为了防止轻易恢复,Rapid7 没有观察到数据加密,因此攻击类型未知。

Rapid7 建议确保 SharePoint 已修补至最新版本。

技术报告:https://www.rapid7.com/blog/post/2024/10/30/investigating-a-sharepoint-compromise-ir-tales-from-the-field/

新闻链接:

https://www.bleepingcomputer.com/news/security/microsoft-sharepoint-rce-bug-exploited-to-breach-corporate-network/

SharePoint RCE 漏洞被用来破坏企业网络,攻击者安装火绒杀毒软件制造冲突

今日安全资讯速递

APT事件

Advanced Persistent Threat

美国和以色列网络安全机构联合发布一份报告,称伊朗黑客攻击入侵了2024法国夏季奥运会相关系统

https://thehackernews.com/2024/11/inside-irans-cyber-playbook-ai-fake.html

疑似乌克兰网络攻击导致俄罗斯城市停车执法瘫痪

https://therecord.media/ukraine-cyberattack-russia-parking-tver

微软警告俄罗斯鱼叉式网络钓鱼攻击针对 100 多个组织

https://www.securityweek.com/microsoft-warns-of-russian-spear-phishing-attacks-targeting-over-100-organizations/

微软警告:黑客利用 Quad7 僵尸网络窃取凭证

https://www.bleepingcomputer.com/news/security/microsoft-chinese-hackers-use-quad7-botnet-to-steal-credentials/

朝鲜APT组织与 Play 勒索软件合作发动重大网络攻击

https://thehackernews.com/2024/10/north-korean-group-collaborates-with.html

Lazarus APT 组织大量利用社会工程技术和生成式人工智能瞄准加密货币投资者

https://securitybrief.co.nz/story/lazarus-apt-group-targets-crypto-investors-with-ai-tactics

黑客利用 CloudScout 工具集窃取云服务会话 Cookie

https://thehackernews.com/2024/10/chinese-hackers-use-cloudscout-toolset.html

新的 LightSpy 间谍软件以增强功能瞄准 iOS

https://www.infosecurity-magazine.com/news/lightspy-spyware-targets-ios/

BeaverTail 恶意软件在针对开发人员的恶意 npm 软件包中再次出现

https://thehackernews.com/2024/10/beavertail-malware-resurfaces-in.html

谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵

https://www.securityweek.com/google-russia-targeting-ukrainian-military-recruits-with-android-windows-malware/

一般威胁事件

General Threat Incidents

购物诈骗蔓延数千个网站,诈骗金额达“数千万美元”

https://therecord.media/shopping-scam-thousands-sites-phishing

暗网帖子曝光后,秘鲁大型银行警告300万客户数据被盗

https://therecord.media/interbank-peru-data-breach

科罗拉多病理学实验室遭 Medusa 勒索软件攻击,影响 180 万人

https://www.govinfosecurity.com/medusa-ransomware-hack-pathology-lab-affects-18-million-a-26695

勒索软件攻击袭击德国药品批发商,扰乱药品供应

https://therecord.media/ransomware-attack-hits-german-pharmaceutical-wholesaler-disruptions

洛杉矶住房管理局确认 Cactus 勒索软件攻击

https://www.bleepingcomputer.com/news/security/la-housing-authority-confirms-breach-claimed-by-cactus-ransomware/

Cyble:新型隐秘 Strela 窃取程序可规避安全工具

https://thecyberexpress.com/new-stealthy-strela-stealer-evades-security/

漏洞事件

Vulnerability Incidents

零点击漏洞可能使数百万Synology NAS设备遭受攻击

https://www.wired.com/story/synology-zero-click-vulnerability/

Azure AI 漏洞允许攻击绕过审核保障措施

https://hackread.com/azure-ai-vulnerabilities-bypass-moderation-safeguards/

近 100 万台存在漏洞的 Fortinet、SonicWall 设备暴露在网络上

https://thecyberexpress.com/vulnerable-fortinet-sonicwall-devices-exposed/

Yahoo 披露 NetIQ iManager 漏洞,可导致远程代码执行

https://www.securityweek.com/yahoo-discloses-netiq-imanager-flaws-allowing-remote-code-execution/

qBittorrent 修复了导致用户 14 年来遭受 MitM 攻击的漏洞

https://www.bleepingcomputer.com/news/security/qbittorrent-fixes-flaw-exposing-users-to-mitm-attacks-for-14-years/

黑客瞄准 PTZ 摄像机中的关键零日漏洞

https://www.bleepingcomputer.com/news/security/hackers-target-critical-zero-day-vulnerability-in-ptz-cameras/

SharePoint RCE 漏洞被用来破坏企业网络,攻击者安装火绒杀毒软件制造冲突

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):SharePoint RCE 漏洞被用来破坏企业网络,攻击者安装火绒杀毒软件制造冲突

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月4日10:16:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SharePoint RCE 漏洞被用来破坏企业网络,攻击者安装火绒杀毒软件制造冲突https://cn-sec.com/archives/3352212.html

发表评论

匿名网友 填写信息