Hakeri iskorištavaju ranjivost SharePoint RCE da bi ugrozili cijeli domen

Sofisticirani napad koji je narušio čitav domen iskorištavanjem kritične ranjivosti u Microsoft SharePointu.

Napad, koji je ostao neotkriven dvije sedmice, pokazuje evoluirajuću taktiku hakera i važnost snažnih mjera sigurnosti.

Napadači su dobili početni pristup iskorištavanjem CVE-2024-38094, ranjivosti za daljinsko izvršavanje koda (RCE) na lokalnom SharePoint serveru. Koristili su seriju GET i POST zahtjeva za postavljanje web-ljuske pod nazivom “ ghostfile93.aspx ” na ciljnom sistemu.

Rapid7-ov tim za odgovor na incidente otkrio je početno kršenje, do kojeg je došlo eksploatacijom CVE 2024-38094 , ranjivosti u Microsoft SharePoint-u koja omogućava napadačima daljinski izvršavanje koda.

Kada su ušli u mrežu, hakeri su se kretali bočno, narušavajući nalog usluge Microsoft Exchange sa privilegijama administratora domena. Koristili su različite alate i tehnike kako bi proširili svoje uporište:

1. Imppacket: Pokušaj instaliranja i izvršavanja ove kolekcije Python skripti za interakciju mrežnog protokola.
2. Horoung Antivirus: Instalirao je ovaj kineski AV softver da onemogući postojeća sigurnosna rješenja.
3. Fast Reverse Proxy (FRP): Primjenjuje se za održavanje vanjskog pristupa putem zaštitnog zida.

Iskorištena ranjivost SharePoint RCE

Napadači su demonstrirali sofisticirano znanje o tehnikama penetracije i izbjegavanja mreže :

• Eksploatacija aktivnog direktorija : Korišteni alati kao što su ADExplorer64.exe, NTDSUtil.exe i nxc.exe za mapiranje AD okruženja i prikupljanje kredencijala.
• Prikupljanje akreditiva : Uposlio Mimikatz (prikriven kao 66.exe) za izdvajanje informacija za prijavu.
• Ometanje dnevnika : Onemogućeno sistemsko evidentiranje i obrisani zapisnici događaja kako bi se prikrili njihovi tragovi.
• Postojanost : Uspostavljeni zakazani zadaci na kontroleru domene za FRP alat.

Napadači su ostali neotkriveni u mreži dvije sedmice, tokom kojih su pokušali da narušavaju rezervne kopije trećih strana i koristili su dodatne alate kao što je Certify.exe da kreiraju ADFS sertifikate za povišene radnje u okruženju Active Directory .

Hakeri su takođe pokušali da prikriju svoje tragove manipulisanjem sistemskim evidencijama i onemogućavanjem mehanizama evidentiranja na narušenom SharePoint serveru. Ova radnja značajno je otežavala istražni proces.

Jedna značajna taktika koju su koristili napadači bila je instaliranje Huorong AntiVirusa, što je izazvalo sukobe sa postojećim sigurnosnim proizvodima, efektivno ih onesposobivši i omogućivši napadačima veću slobodu u ostvarivanju svojih ciljeva.

Ovaj incident naglašava nekoliko kritičnih tačaka za profesionalce za kibernetičku sigurnost:

1. Važnost brzog zakrpanja poznatih ranjivosti , posebno na javnim serverima.
2. Postoji potreba za kontinuiranim praćenjem i mogućnostima brzog reagovanja na incidente.
3. Evoluirajuća sofisticiranost napadača u korištenju legitimnih alata i softvera kako bi izbjegli otkrivanje.

Kako će eksploatacija za početni pristup i dalje biti uobičajena tema 2024. godine, organizacije moraju dati prioritet sigurnosnim alatima i efikasnim procedurama odgovora kako bi ublažile rizik od velikih kršenja.

Izvor: CyberSecurityNews