• صفحه خانگی
  • >
  • یییی اسلاید
  • >
  • آسیب‌پذیری RCE در مایکروسافت SharePoint برای نفوذ به شبکه‌های شرکتی مورد سوءاستفاده قرار گرفت.

آسیب‌پذیری RCE در مایکروسافت SharePoint برای نفوذ به شبکه‌های شرکتی مورد سوءاستفاده قرار گرفت.

آسیب‌پذیری RCE در مایکروسافت SharePoint برای نفوذ به شبکه‌های شرکتی مورد سوءاستفاده قرار گرفت.

هکرها از یک آسیب‌پذیری اجرای کد از راه دور ( RCE ) که اخیراً در Microsoft SharePoint افشا شده و با CVE-2024-38094 شناسایی می‌شود، استفاده می‌کنند تا بتوانند دسترسی اولیه‌ای به شبکه‌های شرکتی پیدا کنند.

آسیب‌پذیری CVE-2024-38094 یک نقص اجرای کد از راه دور (RCE) با شدت بالا است (امتیاز CVSS نسخه ۳٫۱: ۷٫۲) که بر Microsoft SharePoint تأثیر می‌گذارد. SharePoint یک پلتفرم مبتنی بر وب و پرکاربرد است که به‌عنوان یک اینترانت، ابزار مدیریت اسناد و همکاری تیمی عمل می‌کند و به‌طور یکپارچه با اپلیکیشن‌های Microsoft 365 قابل ادغام است.

مایکروسافت این آسیب‌پذیری را در ۹ جولای ۲۰۲۴، به عنوان بخشی از بسته به‌روزرسانی‌های Patch Tuesday در ماه جولای رفع کرد و این مشکل را به عنوان “مهم” علامت‌گذاری کرد.

CISA هفته گذشته آسیب‌پذیری CVE-2024-38094 را به فهرست آسیب‌پذیری‌های شناخته‌شده‌ای که هکرها از آن‌ها سوءاستفاده کرده‌اند، اضافه کرده است، اما جزئیاتی درباره نحوه بهره‌برداری از این نقص در حملات را به اشتراک نگذاشته است.

گزارش جدیدی از شرکت Rapid7 این هفته جزئیاتی درباره نحوه سوءاستفاده مهاجمان از نقص امنیتی SharePoint ارائه می‌دهد و توضیح می‌دهد که از این آسیب‌پذیری در نقض امنیتی یک شبکه که Rapid7 برای بررسی آن دعوت شده بود، استفاده شده است.

گزارش مرتبط بیان می‌کند: تحقیقات ما یک مهاجم را شناسایی کرد که بدون مجوز به یک سرور دسترسی پیدا کرده و به‌صورت جانبی در سراسر شبکه حرکت کرده است و کل دامنه را به خطر انداخته است.

مهاجم به مدت دو هفته شناسایی نشد. شرکت Rapid7 تعیین کرد که مسیر دسترسی اولیه، سوءاستفاده از یک آسیب‌پذیری با شناسه CVE-2024-38094 در سرور SharePoint محلی بوده است.

استفاده از آنتی‌ویروس‌ها (AVs) برای تضعیف امنیت

Rapid7 گزارش داده که مهاجمان از آسیب‌پذیری CVE-2024-38094 برای دسترسی غیرمجاز به یک سرور SharePoint آسیب‌پذیر استفاده کرده و وب‌شلی در آن قرار داده‌اند و تحقیقات نشان می‌دهد که سوءاستفاده از سرور با استفاده از یک PoC که به‌طور عمومی افشا شده، انجام شده است.

مهاجم با استفاده از دسترسی اولیه‌ای که به‌دست آورده بود، یک حساب سرویس مایکروسافت Exchange  را که دارای امتیازات مدیر دامنه بود، به خطر انداخته و توانسته است دسترسی‌های بیشتری به دست آورد.

پس از نصب آنتی‌ویروس Horoung، تداخلی ایجاد شد که باعث غیرفعال شدن دفاع‌های امنیتی و تضعیف شناسایی تهدیدات گردید و این امر به مهاجمین اجازه داد تا ابزار Impacket را برای حرکت جانبی در شبکه نصب کنند.

به‌طور خاص، مهاجم از یک اسکریپت بچ (batch script) به نام (‘hrword install.bat’) برای نصب آنتی‌ویروس Huorong بر روی سیستم، راه‌اندازی یک سرویس سفارشی به نام (‘sysdiag’)، اجرای یک درایور به نام (‘sysdiag_win10.sys’) و اجرای ‘HRSword.exe’ با استفاده از یک اسکریپت VBS استفاده کرد.

تنظیمات مهاجم باعث تداخل‌هایی در تخصیص منابع، درایورها و خدمات فعال شد که منجر به سقوط خدمات آنتی‌ویروس قانونی شرکت گردید و آن‌ها را از عملکرد صحیح بازداشت.

در مرحله بعدی، مهاجم از Mimikatz برای جمع‌آوری اعتبارنامه‌ها (credentials)، از FRP برای دسترسی از راه دور و از وظایف برنامه‌ریزی‌شده برای حفظ دسترسی دائمی استفاده کرد.

برای جلوگیری از شناسایی، آن‌ها ویندوز دیفندر را غیرفعال کردند، لاگ‌های رویداد (event logs) را تغییر دادند و سیستم ثبت لاگ (system logging) را در سیستم‌های آسیب‌پذیر دستکاری کردند.

ابزارهای اضافی مانند everything.exe، Certify.exe و kerbrute برای اسکن شبکه، تولید گواهی ADFS و کرک کردن بلیت‌های Active Directory استفاده شدند.

Third-party backups نیز هدف تخریب قرار گرفتند، اما مهاجمان در تلاش‌های خود برای نفوذ به آن‌ها ناکام ماندند.

اگرچه تلاش برای پاک‌سازی پشتیبان‌ها در حملات باج‌افزاری معمول است تا از بازیابی آسان جلوگیری شود، Rapid7 مشاهده نکرد که داده‌ها رمزگذاری شده‌اند، بنابراین نوع حمله نامشخص است.

با توجه به سوءاستفاده‌های فعال از آسیب‌پذیری‌های SharePoint ، مدیران سیستم باید فوراً به‌روزرسانی‌های لازم را انجام دهند اگر هنوز این کار را نکرده‌اند.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *