Una vulnerabilidad de ejecución remota de código (RCE) de Microsoft SharePoint recientemente revelada, identificada como CVE-2024-38094, se está explotando para obtener acceso inicial a las redes corporativas.
CVE-2024-38094 es una vulnerabilidad RCE de alta gravedad (puntuación CVSS v3.1: 7,2) que afecta a Microsoft SharePoint, una plataforma web ampliamente utilizada que funciona como una intranet, una herramienta de gestión de documentos y colaboración que puede integrarse perfectamente con las aplicaciones de Microsoft 365.
Microsoft parchó la vulnerabilidad el 9 de julio de 2024, como parte del paquete del martes de parches de julio, marcando el problema como «importante».
La semana pasada, CISA añadió CVE-2024-38094 al catálogo de vulnerabilidades explotadas conocidas, pero no explicó cómo se aprovechó la falla en los ataques.
Un nuevo informe de Rapid7 esta semana arroja luz sobre cómo los atacantes están explotando la falla de SharePoint, afirmando que se utilizó en una violación de la red que fueron contratados para investigar.
«Nuestra investigación descubrió un atacante que accedió a un servidor sin autorización y se movió lateralmente a través de la red, comprometiendo todo el dominio». lee el informe correspondiente.
«El atacante no fue detectado durante dos semanas. Rapid7 determinó que el vector de acceso inicial fue la explotación de una vulnerabilidad, CVE 2024-38094, dentro del servidor SharePoint local».
Uso de AV para comprometer la seguridad
Rapid7 ahora informa que los atacantes utilizaron CVE-2024-38094 para obtener acceso no autorizado a un servidor SharePoint vulnerable e instalar un webshell. La investigación mostró que el servidor funcionaba mediante un SharePoint divulgado públicamente. prueba de concepto de explotación.
Aprovechando su acceso inicial, el atacante comprometió una cuenta de servicio de Microsoft Exchange con privilegios de administrador de dominio, obteniendo acceso elevado.
Luego, el atacante instaló el antivirus Horoung, lo que creó un conflicto que deshabilitó las defensas de seguridad y perjudicó la detección, lo que les permitió instalar Impacket para el movimiento lateral.
Específicamente, el atacante utilizó un script por lotes (“hrword install.bat”) para instalar Huorong Antivirus en el sistema, configurar un servicio personalizado (“sysdiag”), ejecutar un controlador (“sysdiag_win10.sys”) y ejecutar “HRSword”. . .exe’ usando un script VBS.
Esta configuración provocó múltiples conflictos en la asignación de recursos, los controladores cargados y los servicios activos, lo que provocó que los servicios antivirus legítimos de la empresa fallaran y los dejaran impotentes.
Fuente: Rapide7
En el siguiente paso, el atacante utilizó Mimikatz para la recopilación de credenciales, FRP para acceso remoto y configuró tareas programadas para la persistencia.
Para evitar la detección, desactivaron Windows Defender, modificaron registros de eventos y manipularon el registro del sistema en sistemas comprometidos.
Se utilizaron herramientas adicionales como everything.exe, Certify.exe y kerbrute para el escaneo de red, la generación de certificados ADFS y la fuerza bruta de tickets de Active Directory.
Las copias de seguridad de terceros también fueron objeto de destrucción, pero los atacantes no pudieron comprometerlas.
Aunque el intento de borrar las copias de seguridad es típico de los ataques de ransomware, para evitar una fácil recuperación, Rapid7 no observó el cifrado de datos, por lo que se desconoce el tipo de ataque.
Con la operación activa en marcha, los administradores de sistemas que no hayan aplicado actualizaciones de SharePoint desde junio de 2024 deberían hacerlo lo antes posible.
