Une vulnérabilité d’exécution de code à distance (RCE) Microsoft SharePoint récemment divulguée, identifiée comme CVE-2024-38094, est exploitée pour obtenir un accès initial aux réseaux d’entreprise.
CVE-2024-38094 est une faille RCE de gravité élevée (score CVSS v3. 1: 7,2) affectant Microsoft SharePoint, une plate-forme Web largement utilisée fonctionnant comme un intranet, une gestion de documents et un outil de collaboration pouvant s’intégrer de manière transparente aux applications Microsoft 365.
Microsoft a corrigé la vulnérabilité le 9 juillet 2024, dans le cadre du package Patch Tuesday de juillet, marquant le problème comme » important. »
La semaine dernière, CISA a ajouté CVE-2024-38094 au Catalogue de vulnérabilités exploitées connues, mais n’a pas expliqué comment la faille avait été exploitée lors d’attaques.
Un nouveau rapport de Rapid7 cette semaine met en lumière la façon dont les attaquants exploitent la faille SharePoint, indiquant qu’elle a été utilisée dans une violation du réseau sur laquelle ils ont été amenés à enquêter.
« Notre enquête a mis au jour un attaquant qui a accédé à un serveur sans autorisation et s’est déplacé latéralement sur le réseau, compromettant l’ensemble du domaine », lit-on dans le rapport connexe.
« L’agresseur est resté inaperçu pendant deux semaines. Rapid7 a déterminé que le vecteur d’accès initial était l’exploitation d’une vulnérabilité, CVE 2024-38094, dans le serveur SharePoint sur site. »
Utilisation d’AVs pour nuire à la sécurité
Rapid7 signale maintenant que les attaquants ont utilisé CVE-2024-38094 pour obtenir un accès non autorisé à un serveur SharePoint vulnérable et installer un shell Web. L’enquête a montré que le serveur avait été exploité à l’aide d’un exploit de validation de principe SharePoint divulgué publiquement.
En tirant parti de leur accès initial, l’attaquant a compromis un compte de service Microsoft Exchange avec des privilèges d’administrateur de domaine, obtenant un accès élevé.
Ensuite, l’attaquant a installé l’antivirus Horoung, ce qui a créé un conflit qui a désactivé les défenses de sécurité et altéré la détection, leur permettant d’installer Impacket pour les mouvements latéraux.
Plus précisément, l’attaquant a utilisé un script batch (‘hrword install.bat’) pour installer l’antivirus Huorong sur le système, configurez un service personnalisé (‘sysdiag’), exécutez un pilote (‘sysdiag_win10.sys’) et exécutez ‘ HRSword.exe ‘ en utilisant un script VBS.
Cette configuration a provoqué de multiples conflits dans l’allocation des ressources, les pilotes chargés et les services actifs, ce qui a rendu impuissants les services antivirus légitimes de l’entreprise.
À l’étape suivante, l’attaquant a utilisé Mimikatz pour la récolte des informations d’identification, FRP pour l’accès à distance et a configuré des tâches planifiées pour la persistance.
Pour éviter la détection, ils ont désactivé Windows Defender, modifié les journaux d’événements et manipulé la journalisation du système sur les systèmes compromis.
Des outils supplémentaires tels que tout.exe, Certifie.exe et kerbrute ont été utilisés pour l’analyse du réseau, la génération de certificats ADFS et le forçage brutal des tickets Active Directory.
Les sauvegardes tierces ont également été ciblées pour destruction, mais les attaquants ont échoué dans leurs tentatives de les compromettre.
Bien que la tentative d’effacement des sauvegardes soit typique des attaques de ransomware, pour empêcher une récupération facile, Rapid7 n’a pas observé le cryptage des données, de sorte que le type d’attaque est inconnu.
Avec une exploitation active en cours, les administrateurs système qui n’ont pas appliqué les mises à jour SharePoint depuis juin 2024 doivent le faire dès que possible.