Lỗi RCE trong Microsoft SharePoint bị khai thác để xâm nhập mạng nội bộ doanh nghiệp

Một lỗ hổng thực thi mã từ xa (RCE) trong Microsoft SharePoint được gán mã CVE-2024-38094 đang bị khai thác để chiếm quyền truy cập ban đầu vào mạng công ty.

CVE-2024-38094 là lỗ hổng nghiêm trọng với điểm CVSS 7.2 ảnh hưởng đến Microsoft SharePoint, một nền tảng dựa trên web được sử dụng phổ biến. SharePoint hoạt động để xây dựng các trang web nội bộ, quản lý tài liệu và có khả năng tích hợp liền mạch với các ứng dụng của Microsoft 365.

Microsoft đã khắc phục lỗ hổng này vào ngày 9 tháng 7 năm 2024 trong Patch Tuesday tháng 7. Sau đó, có báo cáo mô tả cách kẻ tấn công khai thác lỗ hổng SharePoint khi nó được sử dụng trong một vụ vi phạm mạng được điều tra.

Cụ thể, kẻ tấn công đã truy cập trái phép vào máy chủ và cài đặt webshell. 2 tuần sau, vụ việc mới được phát hiện. Vector xâm nhập ban đầu là do khai thác lỗ hổng CVE-2024-38094 trong máy chủ SharePoint được triển khai tại chỗ (on-premise).

Máy chủ này đã bị khai thác bằng cách sử dụng mã khai thác được công khai cho lỗ hổng trong SharePoint. Sau khi có được quyền truy cập ban đầu, kẻ tấn công đã xâm nhập vào tài khoản dịch vụ Microsoft Exchange với quyền quản trị viên của miền, từ đó leo thang đặc quyền.

Tiếp theo, kẻ tấn công cài đặt phần mềm Horoung Antivirus để vô hiệu hóa các giải pháp bảo mật và tránh bị phát hiện. Điều này cho phép kẻ tấn công cài đặt Impacket để xâm nhập ngang hàng trong hệ thống.

Cụ thể, kẻ tấn công sử dụng một tập lệnh batch (hrword install.bat) để cài đặt Huorong Antivirus, thiết lập một dịch vụ tùy chỉnh (sysdiag), chạy một driver (sysdiag_win10.sys), và chạy chương trình HRSword.exe thông qua một tập lệnh VBS.

Thiết lập này đã gây ra nhiều xung đột trong việc phân bổ tài nguyên, tải các driver và hoạt động của các dịch vụ, dẫn đến việc các dịch vụ anti virus hợp pháp của công ty bị sập và không còn khả năng bảo vệ hệ thống.

1730690967637.png

Trong giai đoạn tiếp theo, kẻ tấn công đã sử dụng Mimikatz để thu thập thông tin xác thực (mật khẩu, thông tin đăng nhập), sử dụng FRP để truy cập từ xa và thiết lập các tác vụ được lập lịch để duy trì sự tồn tại trên hệ thống bị xâm nhập.

Để tránh bị phát hiện, chúng đã tắt Windows Defender, thay đổi các bản log sự kiện và thao túng các hoạt động ghi log của hệ thống trên các hệ thống bị chiếm quyền.

Ngoài ra, kẻ tấn công còn sử dụng các công cụ khác như everything.exe để quét mạng, Certify.exe để tạo chứng chỉ ADFS (Active Directory Federation Services) và kerbrute để thử bẻ khóa vé dịch vụ của Active Directory.

Kẻ tấn công đã nhắm đến việc loại bỏ các bản sao lưu bên ngoài để làm giảm khả năng khôi phục dữ liệu của nạn nhân, nhưng người tính không bằng trời tính, âm mưu này khó mà thành công.

Mặc dù việc cố gắng xóa các bản sao lưu là điều thường thấy trong các cuộc tấn công bằng ransomware, nhưng để ngăn chặn việc khôi phục dễ dàng, các chuyên gia không phát hiện thấy có mã hóa dữ liệu, do đó, loại hình của cuộc tấn công này vẫn chưa được xác định rõ ràng.

Với việc khai thác lỗ hổng đang diễn ra, các quản trị viên hệ thống chưa cập nhật SharePoint kể từ tháng 6 năm 2024 cần phải thực hiện cập nhật càng sớm càng tốt để bảo vệ hệ thống.