Uma vulnerabilidade recentemente divulgada de execução remota de código (RCE) no Microsoft SharePoint, registrada como
CVE-2024-38094
, está sendo explorada para obter acesso inicial às redes corporativas.
CVE-2024-38094
é uma falha de RCE de alta gravidade (pontuação CVSS v3.1: 7.2) impactando o Microsoft SharePoint, uma plataforma baseada na web amplamente utilizada funcionando como uma intranet, ferramenta de gerenciamento de documentos e colaboração que pode se integrar perfeitamente com aplicativos do Microsoft 365.
A Microsoft corrigiu a vulnerabilidade em 9 de julho de 2024, como parte do pacote de Patch Tuesday de julho, marcando a questão como "importante".
Na semana passada, a CISA acrescentou o
CVE-2024-38094
ao Catálogo de Vulnerabilidades Exploradas Conhecidas, mas não compartilhou como a falha foi explorada nos ataques.
Um novo relatório da Rapid7 esta semana lança luz sobre como os atacantes exploram a falha do SharePoint, afirmando que ela foi utilizada em uma violação de rede que foram chamados para investigar.
"Nossa investigação descobriu um atacante que acessou um servidor sem autorização e moveu-se lateralmente pela rede, comprometendo todo o domínio", diz o relatório relacionado.
O atacante permaneceu não detectado por duas semanas.
A Rapid7 determinou que o vetor de acesso inicial foi a exploração de uma vulnerabilidade,
CVE-2024-38094
, dentro do servidor SharePoint local.
A Rapid7 agora relata que os atacantes usaram
CVE-2024-38094
para obter acesso não autorizado a um servidor SharePoint vulnerável e plantar um webshell.
A investigação mostrou que o servidor foi explorado usando um exploit de conceito de prova do SharePoint divulgado publicamente.
Aproveitando seu acesso inicial, o atacante comprometeu uma conta de serviço Microsoft Exchange com privilégios de administrador de domínio, obtendo acesso elevado.
Em seguida, o atacante instalou o Antivirus Horoung, o que criou um conflito que desativou as defesas de segurança e prejudicou a detecção, permitindo-lhes instalar Impacket para movimento lateral.
Especificamente, o atacante usou um script batch ('hrword install.bat') para instalar o Antivirus Huorong no sistema, configurar um serviço personalizado ('sysdiag'), executar um driver ('sysdiag_win10.sys') e rodar 'HRSword.exe' usando um script VBS.
Essa configuração causou múltiplos conflitos na alocação de recursos, drivers carregados e serviços ativos, fazendo com que os serviços legítimos de antivírus da empresa travassem e se tornassem impotentes.
Na etapa seguinte, o atacante usou Mimikatz para colheita de credenciais, FRP para acesso remoto e configurou tarefas agendadas para persistência.
Para evitar detecção, eles desativaram o Windows Defender, alteraram logs de eventos e manipularam o registro do sistema nos sistemas comprometidos.
Ferramentas adicionais como everything.exe, Certify.exe e kerbrute foram usadas para varredura de rede, geração de certificados ADFS e força bruta em tickets do Active Directory.
Backups de terceiros também foram alvo de destruição, mas os atacantes falharam em suas tentativas de comprometer esses.
Embora tentar apagar backups seja típico em ataques de ransomware, para impedir a recuperação fácil, a Rapid7 não observou criptografia de dados, então o tipo do ataque é desconhecido.
Com a exploração ativa em andamento, administradores de sistema que não aplicaram atualizações do SharePoint desde junho de 2024 devem fazê-lo o mais rápido possível.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...