هکرها از یک آسیبپذیری اجرای کد از راه دور ( RCE ) که اخیراً در Microsoft SharePoint افشا شده و با CVE-2024-38094 شناسایی میشود، استفاده میکنند تا بتوانند دسترسی اولیهای به شبکههای شرکتی پیدا کنند.
آسیبپذیری CVE-2024-38094 یک نقص اجرای کد از راه دور (RCE) با شدت بالا است (امتیاز CVSS نسخه ۳٫۱: ۷٫۲) که بر Microsoft SharePoint تأثیر میگذارد. SharePoint یک پلتفرم مبتنی بر وب و پرکاربرد است که بهعنوان یک اینترانت، ابزار مدیریت اسناد و همکاری تیمی عمل میکند و بهطور یکپارچه با اپلیکیشنهای Microsoft 365 قابل ادغام است.
مایکروسافت این آسیبپذیری را در ۹ جولای ۲۰۲۴، به عنوان بخشی از بسته بهروزرسانیهای Patch Tuesday در ماه جولای رفع کرد و این مشکل را به عنوان “مهم” علامتگذاری کرد.
CISA هفته گذشته آسیبپذیری CVE-2024-38094 را به فهرست آسیبپذیریهای شناختهشدهای که هکرها از آنها سوءاستفاده کردهاند، اضافه کرده است، اما جزئیاتی درباره نحوه بهرهبرداری از این نقص در حملات را به اشتراک نگذاشته است.
گزارش جدیدی از شرکت Rapid7 این هفته جزئیاتی درباره نحوه سوءاستفاده مهاجمان از نقص امنیتی SharePoint ارائه میدهد و توضیح میدهد که از این آسیبپذیری در نقض امنیتی یک شبکه که Rapid7 برای بررسی آن دعوت شده بود، استفاده شده است.
گزارش مرتبط بیان میکند: تحقیقات ما یک مهاجم را شناسایی کرد که بدون مجوز به یک سرور دسترسی پیدا کرده و بهصورت جانبی در سراسر شبکه حرکت کرده است و کل دامنه را به خطر انداخته است.
مهاجم به مدت دو هفته شناسایی نشد. شرکت Rapid7 تعیین کرد که مسیر دسترسی اولیه، سوءاستفاده از یک آسیبپذیری با شناسه CVE-2024-38094 در سرور SharePoint محلی بوده است.
استفاده از آنتیویروسها (AVs) برای تضعیف امنیت
Rapid7 گزارش داده که مهاجمان از آسیبپذیری CVE-2024-38094 برای دسترسی غیرمجاز به یک سرور SharePoint آسیبپذیر استفاده کرده و وبشلی در آن قرار دادهاند و تحقیقات نشان میدهد که سوءاستفاده از سرور با استفاده از یک PoC که بهطور عمومی افشا شده، انجام شده است.
مهاجم با استفاده از دسترسی اولیهای که بهدست آورده بود، یک حساب سرویس مایکروسافت Exchange را که دارای امتیازات مدیر دامنه بود، به خطر انداخته و توانسته است دسترسیهای بیشتری به دست آورد.
پس از نصب آنتیویروس Horoung، تداخلی ایجاد شد که باعث غیرفعال شدن دفاعهای امنیتی و تضعیف شناسایی تهدیدات گردید و این امر به مهاجمین اجازه داد تا ابزار Impacket را برای حرکت جانبی در شبکه نصب کنند.
بهطور خاص، مهاجم از یک اسکریپت بچ (batch script) به نام (‘hrword install.bat’) برای نصب آنتیویروس Huorong بر روی سیستم، راهاندازی یک سرویس سفارشی به نام (‘sysdiag’)، اجرای یک درایور به نام (‘sysdiag_win10.sys’) و اجرای ‘HRSword.exe’ با استفاده از یک اسکریپت VBS استفاده کرد.
تنظیمات مهاجم باعث تداخلهایی در تخصیص منابع، درایورها و خدمات فعال شد که منجر به سقوط خدمات آنتیویروس قانونی شرکت گردید و آنها را از عملکرد صحیح بازداشت.
در مرحله بعدی، مهاجم از Mimikatz برای جمعآوری اعتبارنامهها (credentials)، از FRP برای دسترسی از راه دور و از وظایف برنامهریزیشده برای حفظ دسترسی دائمی استفاده کرد.
برای جلوگیری از شناسایی، آنها ویندوز دیفندر را غیرفعال کردند، لاگهای رویداد (event logs) را تغییر دادند و سیستم ثبت لاگ (system logging) را در سیستمهای آسیبپذیر دستکاری کردند.
ابزارهای اضافی مانند everything.exe، Certify.exe و kerbrute برای اسکن شبکه، تولید گواهی ADFS و کرک کردن بلیتهای Active Directory استفاده شدند.
Third-party backups نیز هدف تخریب قرار گرفتند، اما مهاجمان در تلاشهای خود برای نفوذ به آنها ناکام ماندند.
اگرچه تلاش برای پاکسازی پشتیبانها در حملات باجافزاری معمول است تا از بازیابی آسان جلوگیری شود، Rapid7 مشاهده نکرد که دادهها رمزگذاری شدهاند، بنابراین نوع حمله نامشخص است.
با توجه به سوءاستفادههای فعال از آسیبپذیریهای SharePoint ، مدیران سیستم باید فوراً بهروزرسانیهای لازم را انجام دهند اگر هنوز این کار را نکردهاند.