據(jù)媒體報道，微軟SharePoint存在遠程代碼執(zhí)行（RCE）漏洞，漏洞編號CVE-2024-38094（CVSS評分：7.2） ，并且正在被黑客利用，以此獲取對企業(yè)系統(tǒng)的初始訪問權(quán)限。

微軟SharePoint是一個流行的協(xié)作平臺，與微軟365無縫集成 ，允許企業(yè)創(chuàng)建網(wǎng)站、管理文檔、促進團隊協(xié)作，并提供一系列工具來自動化業(yè)務(wù)流程，提供了細粒度的控制和恢復(fù)功能，確保數(shù)據(jù)的安全性。企業(yè)可以通過定期備份來防止數(shù)據(jù)丟失，并確保在發(fā)生硬件故障或其他意外事件時能夠迅速恢復(fù)數(shù)據(jù)。

2024年7月9日，微軟星期二補丁月已發(fā)布該漏洞修復(fù)措施，并將其標記為“重要”。10月底，CISA將CVE-2024-38094添加到已知被利用漏洞目錄中，但沒有分享該漏洞在攻擊中是如何被利用的。

近日，安全公司Rapid7發(fā)布了一份安全報告，闡明了攻擊者是如何利用SharePoint漏洞入侵企業(yè)，并獲得系統(tǒng)訪問權(quán)限。Rapid7表示，已確定初始訪問向量是對本地SharePoint服務(wù)器中漏洞CVE 2024-38094的利用。

起初，攻擊者利用CVE-2024-38094漏洞公開披露的PoC獲得了對服務(wù)器的訪問權(quán)限，并植入webshell。隨后，該攻擊者入侵了一個具有域管理員權(quán)限的微軟Exchange服務(wù)賬戶，以此獲得更高級別的訪問權(quán)限。

接下來，攻擊者在目標系統(tǒng)中安裝了未授權(quán)的殺毒軟件（例如火絨，海外未被系統(tǒng)環(huán)境信任）。有意思的地方來了，由于該殺毒軟件并沒有被系統(tǒng)信任，導(dǎo)致與微軟安全防護體系造成沖突，最終結(jié)果是微軟防護體系會因此崩潰。此時攻擊者可以安裝Impacket（紅隊人員內(nèi)網(wǎng)橫向使用頻率最多的工具之一 ）進行橫向移動。

此類攻擊方式是利用未授權(quán)的殺毒軟件和安全防護體系之間的沖突，從而導(dǎo)致資源分配和驅(qū)動程序加載無法順利進行，最終實現(xiàn)安全防護效果被削弱，甚至是崩潰，讓攻擊者可以從容進行后續(xù)攻擊行為（例如橫向移動）。

攻擊時間線（來源：Rapid7）

在接下來的階段，攻擊者使用Mimikatz進行憑證收集，F(xiàn)RP進行遠程訪問，并設(shè)置計劃任務(wù)以實現(xiàn)持久性。為了避免檢測，他們禁用了Windows Defender，更改了事件日志，并操縱了被妥協(xié)系統(tǒng)上的系統(tǒng)日志記錄。

其他工具如everything.exe、Certify.exe和kerbrute被用于網(wǎng)絡(luò)掃描、ADFS證書生成和暴力破解Active Directory票據(jù)。盡管試圖擦除備份在勒索軟件攻擊中很典型，但Rapid7并未發(fā)現(xiàn)數(shù)據(jù)被加碼的跡象，因此不能去確定是勒索攻擊。

隨著類似攻擊行為的出現(xiàn)，微軟建議未更新SharePoint的用戶盡快完成漏洞修復(fù)，以免造成更加嚴重的損失。

參考來源：https://www.bleepingcomputer.com/news/security/microsoft-sharepoint-rce-bug-exploited-to-breach-corporate-network/