در گزارشی از تیم امنیتی Rapid7، کشف آسیبپذیری CVE-2024-38094 در سرور Microsoft SharePoint به مهاجمان امکان دسترسی به کل دامنه و سیستمهای حیاتی را داده است. این نفوذ از طریق یک حساب سرویس Microsoft Exchange که دارای مجوزهای مدیر دامنه بود، صورت گرفته و مهاجمان توانستند با استفاده از این آسیبپذیری، به مدت دو هفته بدون شناسایی در شبکه به فعالیتهای مخرب خود ادامه دهند. همچنین، مهاجمان با نصب آنتیویروس Horoung، باعث غیرفعال شدن سیستمهای امنیتی شده و از ابزارهایی نظیر Impacket برای حرکات جانبی استفاده کرده اند. این اتفاق که به دلیل بهرهبرداری از آسیبپذیری CVE-2024-38094 رخ داده، اهمیت تشخیص سریع و واکنش به موقع به نقاط ضعف موجود در سرورهای SharePoint محلی را نشان میدهد.
تحقیقات زمانی آغاز شد که Rapid7 فعالیت مشکوکی را در یک حساب سرویس Microsoft Exchange که دارای امتیازات مدیر دامنه بود، شناسایی کرد. Rapid7 مسیر نفوذ را به عنوان یک آسیبپذیری شناخته شده به نام CVE-2024-38094 در سرور SharePoint تشخیص داد و اعلام کرد: «بهرهبرداری برای دسترسی اولیه یک الگوی رایج در سال ۲۰۲۴ بوده که اغلب نیازمند ابزارهای امنیتی و فرآیندهای واکنش کارآمد برای جلوگیری از تأثیرات بزرگ است.» این آسیبپذیری به مهاجمان امکان اجرای کد از راه دور را داد و به آنها امکان داد تا به مدت دو هفته بدون شناسایی، در شبکه به صورت جانبی حرکت کنند.
پس از ورود، مهاجم از حساب سرویس Exchange که به آن دست یافته بود برای نصب آنتیویروس Horoung (یک محصول آنتیویروس چینی) استفاده کرد که باعث اختلال در اقدامات امنیتی فعال سیستم شد. این اختلال منجر به crash راهحلهای امنیتی موجود شد و به مهاجم اجازه داد تا اهداف خود را بدون مانع دنبال کند. Rapid7 اشاره کرد: «نصب Horoung باعث ایجاد تضاد با محصولات امنیتی فعال شد و منجر به کرش این سرویسها شد.» این نمونهای آشکار از تاکتیک ” Impairing Defenses” (T1562) است. این کرش عمدی به مهاجم اجازه داد ابزارهای مخرب، از جمله Impacket را برای حرکت جانبی نصب و اجرا کند. مهاجم از سرور SharePoint نفوذیافته برای اجرای ابزار Mimikatz به منظور استخراج اطلاعات اعتبارنامه و دستکاری در گزارشات سیستم برای مخفیسازی ردپاهای خود استفاده کرد. شواهد نشان میداد که «بخش عمدهای از گزارشدهی سیستم غیرفعال شده بود»، که باعث دشواری در شناسایی آنها شد. همچنین، مهاجم از یک webshell به نام ghostfile93.aspx برای ایجاد دسترسی دائمی استفاده کرد که باعث ایجاد تعداد زیادی درخواست HTTP POST از یک آیپی خارجی شد. وجود این webshell و دیگر فایلهای مخرب مانند Fast Reverse Proxy (FRP) به مهاجم اجازه داد تا شبکه را نقشه برداری کرده، اطلاعات اعتبارنامهها را جمعآوری کند و ارتباطات خارجی برقرار نماید. Rapid7 مشاهده کرد که مهاجم از مجموعهای از فایلهای اجرایی استفاده کرده تا کنترل خود را در دامنه گسترش دهد. مهاجم everything.exe را برای فهرستسازی سیستم فایل NTFS و Certify.exe را برای ایجاد گواهیهای Active Directory Federation Services (ADFS) اجرا کرد که به او امتیازات بالاتری میداد. همچنین، ابزار Kerbrute برای حمله brute-forcing به بلیتهای Kerberos به کار گرفته شد، که نشاندهنده یک رویکرد هدفمند برای نفوذ به مکانیزمهای احراز هویت در شبکه بود. گزارش اشاره میکند: «این TTPها شامل استفاده از چندین فایل اجرایی از جمله everything.exe، kerbrute_windows_amd64.exe، ۶۶٫exe، Certify.exe و تلاش برای تخریب بکاپهای شخص ثالث بود.»
تحلیل Rapid7 بر نیاز به گزارشگیری قوی و اقدامات شناسایی زودهنگام تأکید دارد. در این توصیه نامه آمده است که «تحلیل گزارشهای رویدادهای احراز هویت از کنترلرهای دامنه» برای شناسایی فعالیتهای غیرعادی، به ویژه فعالیتهای مربوط به حسابهای دارای امتیاز، ضروری است. این گزارش پیشنهاد میکند که سیاستهای امنیتی بررسی و تقویت شوند، پایش گزارشها بهبود یابد و آخرین پچها به ویژه در سرویسهای پرخطر مانند SharePoint اعمال شود تا از وقوع چنین نفوذهایی جلوگیری شود.
منبع: securityonline.info