據(jù)媒體報(bào)道，微軟SharePoint存在遠(yuǎn)程代碼執(zhí)行（RCE）漏洞，漏洞編號CVE-2024-38094（CVSS評分：7.2） ，并且正在被黑客利用，以此獲取對企業(yè)系統(tǒng)的初始訪問權(quán)限。

微軟SharePoint是一個(gè)流行的協(xié)作平臺，與微軟365無縫集成 ，允許企業(yè)創(chuàng)建網(wǎng)站、管理文檔、促進(jìn)團(tuán)隊(duì)協(xié)作，并提供一系列工具來自動(dòng)化業(yè)務(wù)流程，提供了細(xì)粒度的控制和恢復(fù)功能，確保數(shù)據(jù)的安全性。企業(yè)可以通過定期備份來防止數(shù)據(jù)丟失，并確保在發(fā)生硬件故障或其他意外事件時(shí)能夠迅速恢復(fù)數(shù)據(jù)。

2024年7月9日，微軟星期二補(bǔ)丁月已發(fā)布該漏洞修復(fù)措施，并將其標(biāo)記為“重要”。10月底，CISA將CVE-2024-38094添加到已知被利用漏洞目錄中，但沒有分享該漏洞在攻擊中是如何被利用的。

近日，安全公司Rapid7發(fā)布了一份安全報(bào)告，闡明了攻擊者是如何利用SharePoint漏洞入侵企業(yè)，并獲得系統(tǒng)訪問權(quán)限。Rapid7表示，已確定初始訪問向量是對本地SharePoint服務(wù)器中漏洞CVE 2024-38094的利用。

起初，攻擊者利用CVE-2024-38094漏洞公開披露的PoC獲得了對服務(wù)器的訪問權(quán)限，并植入webshell。隨后，該攻擊者入侵了一個(gè)具有域管理員權(quán)限的微軟Exchange服務(wù)賬戶，以此獲得更高級別的訪問權(quán)限。

接下來，攻擊者在目標(biāo)系統(tǒng)中安裝了未授權(quán)的殺毒軟件（例如火絨，海外未被系統(tǒng)環(huán)境信任）。有意思的地方來了，由于該殺毒軟件并沒有被系統(tǒng)信任，導(dǎo)致與微軟安全防護(hù)體系造成沖突，最終結(jié)果是微軟防護(hù)體系會(huì)因此崩潰。此時(shí)攻擊者可以安裝Impacket（紅隊(duì)人員內(nèi)網(wǎng)橫向使用頻率最多的工具之一 ）進(jìn)行橫向移動(dòng)。

此類攻擊方式是利用未授權(quán)的殺毒軟件和安全防護(hù)體系之間的沖突，從而導(dǎo)致資源分配和驅(qū)動(dòng)程序加載無法順利進(jìn)行，最終實(shí)現(xiàn)安全防護(hù)效果被削弱，甚至是崩潰，讓攻擊者可以從容進(jìn)行后續(xù)攻擊行為（例如橫向移動(dòng)）。

攻擊時(shí)間線（來源：Rapid7）

在接下來的階段，攻擊者使用Mimikatz進(jìn)行憑證收集，F(xiàn)RP進(jìn)行遠(yuǎn)程訪問，并設(shè)置計(jì)劃任務(wù)以實(shí)現(xiàn)持久性。為了避免檢測，他們禁用了Windows Defender，更改了事件日志，并操縱了被妥協(xié)系統(tǒng)上的系統(tǒng)日志記錄。

其他工具如everything.exe、Certify.exe和kerbrute被用于網(wǎng)絡(luò)掃描、ADFS證書生成和暴力破解Active Directory票據(jù)。盡管試圖擦除備份在勒索軟件攻擊中很典型，但Rapid7并未發(fā)現(xiàn)數(shù)據(jù)被加碼的跡象，因此不能去確定是勒索攻擊。

隨著類似攻擊行為的出現(xiàn)，微軟建議未更新SharePoint的用戶盡快完成漏洞修復(fù)，以免造成更加嚴(yán)重的損失。

參考來源：https://www.bleepingcomputer.com/news/security/microsoft-sharepoint-rce-bug-exploited-to-breach-corporate-network/