CVE-2024-38094 として追跡されている Microsoft SharePoint のリモート・コード実行(RCE)の脆弱性が最近公開され、企業ネットワークへの初期アクセスに悪用されています。
CVE-2024-38094は、イントラネット、文書管理、およびMicrosoft 365アプリとシームレスに統合できるコラボレーションツールとして広く使用されているWebベースのプラットフォームであるMicrosoft SharePointに影響を与える、深刻度の高い(CVSS v3.1スコア:7.2)RCEの欠陥です。
マイクロソフトは2024年7月9日、7月のパッチ・チューズデー・パッケージの一部としてこの脆弱性を修正し、この問題を “重要 “とした。
先週、CISAはCVE-2024-38094をKnown Exploited Vulnerability Catalogに追加したが、この欠陥が攻撃でどのように悪用されたかは共有しなかった。
今週 Rapid7 から発表された新しいレポートでは、攻撃者がどのように SharePoint の欠陥を悪用しているのかが明らかにされており、彼らが調査のために持ち込まれたネットワーク侵害でこの欠陥が使用されたと述べている。
「私たちの調査では、サーバーに無許可でアクセスした攻撃者がネットワーク上を横方向に移動し、ドメイン全体を侵害したことが判明しました。
「攻撃者は2週間発見されないままでした。Rapid7は、最初のアクセス・ベクトルが、オンプレミスのSharePointサーバー内の脆弱性CVE 2024-38094の悪用であることを突き止めた。”
セキュリティを損なうAVの使用
Rapid7 の報告によると、攻撃者は CVE-2024-38094 を利用して脆弱性のある SharePoint サーバーに不正アクセスし、ウェブシェルを仕掛けていました。調査の結果、このサーバーは一般に公開されているSharePointの概念実証を悪用したものであることが判明しました。
攻撃者は、最初のアクセスを利用して、ドメイン管理者権限を持つMicrosoft Exchangeサービスアカウントを侵害し、昇格したアクセスを獲得しました。
次に、攻撃者はHoroungアンチウイルスをインストールし、セキュリティ防御を無効化する競合を発生させ、検知能力を低下させました。
具体的には、攻撃者はバッチスクリプト(「hrword install.bat」)を使用して、システムにHuorong Antivirusをインストールし、カスタムサービス(「sysdiag」)を設定し、ドライバ(「sysdiag_win10.sys」)を実行し、VBSスクリプトを使用して「HRSword.exe」を実行しました。
このセットアップにより、リソースの割り当て、ロードされたドライバ、およびアクティブなサービスにおいて複数の競合が発生し、同社の正規のウイルス対策サービスがクラッシュして無力化された。
次の段階では、攻撃者はMimikatzを使用してクレデンシャル・ハーベスティングを行い、FRPを使用してリモート・アクセスを行い、永続化のためにスケジュールされたタスクを設定した。
検知を避けるために、Windows Defenderを無効にし、イベントログを変更し、侵害されたシステム上のシステムロギングを操作しました。
everything.exe、Certify.exe、kerbruteなどの追加ツールは、ネットワークスキャン、ADFS証明書の生成、Active Directoryチケットのブルートフォースなどに使用されました。
サードパーティのバックアップも破壊の対象となったが、攻撃者はこれらを侵害する試みに失敗した。
バックアップを消去する試みはランサムウェア攻撃では典型的ですが、Rapid7はデータの暗号化を観測していないため、攻撃のタイプは不明です。
現在、活発な攻撃が行われているため、2024年6月以降にSharePointのアップデートを適用していないシステム管理者は、早急にアップデートを行う必要がある。
Comments