فورتی‌نت درباره نقص بحرانی جدید FortiManager هشدار داد.

آسیب پذیری بحرانی در Microsoft SharePoint Server

1403/08/13 Site Admin

در گزارشی از تیم امنیتی Rapid7، کشف آسیب‌پذیری CVE-2024-38094 در سرور Microsoft SharePoint به مهاجمان امکان دسترسی به کل دامنه و سیستم‌های حیاتی را داده است. این نفوذ از طریق یک حساب سرویس Microsoft Exchange که دارای مجوزهای مدیر دامنه بود، صورت گرفته و مهاجمان توانستند با استفاده از این آسیب‌پذیری، به مدت دو هفته بدون شناسایی در شبکه به فعالیت‌های مخرب خود ادامه دهند. همچنین، مهاجمان با نصب آنتی‌ویروس Horoung، باعث غیرفعال شدن سیستم‌های امنیتی شده و از ابزارهایی نظیر Impacket برای حرکات جانبی استفاده کرده اند. این اتفاق که به دلیل بهره‌برداری از آسیب‌پذیری CVE-2024-38094 رخ داده، اهمیت تشخیص سریع و واکنش به موقع به نقاط ضعف موجود در سرورهای SharePoint محلی را نشان می‌دهد.
تحقیقات زمانی آغاز شد که Rapid7 فعالیت مشکوکی را در یک حساب سرویس Microsoft Exchange که دارای امتیازات مدیر دامنه بود، شناسایی کرد. Rapid7 مسیر نفوذ را به عنوان یک آسیب‌پذیری شناخته شده به نام CVE-2024-38094 در سرور SharePoint تشخیص داد و اعلام کرد: «بهره‌برداری برای دسترسی اولیه یک الگوی رایج در سال ۲۰۲۴ بوده که اغلب نیازمند ابزارهای امنیتی و فرآیندهای واکنش کارآمد برای جلوگیری از تأثیرات بزرگ است.» این آسیب‌پذیری به مهاجمان امکان اجرای کد از راه دور را داد و به آنها امکان داد تا به مدت دو هفته بدون شناسایی، در شبکه به‌ صورت جانبی حرکت کنند.

پس از ورود، مهاجم از حساب سرویس Exchange که به آن دست یافته بود برای نصب آنتی‌ویروس Horoung (یک محصول آنتی‌ویروس چینی) استفاده کرد که باعث اختلال در اقدامات امنیتی فعال سیستم شد. این اختلال منجر به crash راه‌حل‌های امنیتی موجود شد و به مهاجم اجازه داد تا اهداف خود را بدون مانع دنبال کند. Rapid7 اشاره کرد: «نصب Horoung باعث ایجاد تضاد با محصولات امنیتی فعال شد و منجر به کرش این سرویس‌ها شد.» این نمونه‌ای آشکار از تاکتیک ” Impairing Defenses” (T1562) است. این کرش عمدی به مهاجم اجازه داد ابزارهای مخرب، از جمله Impacket را برای حرکت جانبی نصب و اجرا کند. مهاجم از سرور SharePoint نفوذیافته برای اجرای ابزار Mimikatz به منظور استخراج اطلاعات اعتبارنامه و دستکاری در گزارشات سیستم برای مخفی‌سازی ردپاهای خود استفاده کرد. شواهد نشان می‌داد که «بخش عمده‌ای از گزارش‌دهی سیستم غیرفعال شده بود»، که باعث دشواری در شناسایی آنها شد. همچنین، مهاجم از یک webshell به نام ghostfile93.aspx برای ایجاد دسترسی دائمی استفاده کرد که باعث ایجاد تعداد زیادی درخواست HTTP POST از یک آی‌پی خارجی شد. وجود این webshell و دیگر فایل‌های مخرب مانند Fast Reverse Proxy (FRP) به مهاجم اجازه داد تا شبکه را نقشه‌ برداری کرده، اطلاعات اعتبارنامه‌ها را جمع‌آوری کند و ارتباطات خارجی برقرار نماید. Rapid7 مشاهده کرد که مهاجم از مجموعه‌ای از فایل‌های اجرایی استفاده کرده تا کنترل خود را در دامنه گسترش دهد. مهاجم everything.exe را برای فهرست‌سازی سیستم فایل NTFS و Certify.exe را برای ایجاد گواهی‌های Active Directory Federation Services (ADFS) اجرا کرد که به او امتیازات بالاتری می‌داد. همچنین، ابزار Kerbrute برای حمله brute-forcing به بلیت‌های Kerberos به کار گرفته شد، که نشان‌دهنده یک رویکرد هدفمند برای نفوذ به مکانیزم‌های احراز هویت در شبکه بود. گزارش اشاره می‌کند: «این TTPها شامل استفاده از چندین فایل اجرایی از جمله everything.exe، kerbrute_windows_amd64.exe، ۶۶٫exe، Certify.exe و تلاش برای تخریب بکاپ‌های شخص ثالث بود.»
تحلیل Rapid7 بر نیاز به گزارش‌گیری قوی و اقدامات شناسایی زودهنگام تأکید دارد. در این توصیه‌ نامه آمده است که «تحلیل گزارش‌های رویدادهای احراز هویت از کنترلرهای دامنه» برای شناسایی فعالیت‌های غیرعادی، به‌ ویژه فعالیت‌های مربوط به حساب‌های دارای امتیاز، ضروری است. این گزارش پیشنهاد می‌کند که سیاست‌های امنیتی بررسی و تقویت شوند، پایش گزارش‌ها بهبود یابد و آخرین پچ‌ها به ‌ویژه در سرویس‌های پرخطر مانند SharePoint اعمال شود تا از وقوع چنین نفوذهایی جلوگیری شود.

منبع: securityonline.info