Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
983
)
-
▼
noviembre
(Total:
31
)
- VMware Workstation y Fusion ahora son gratis
- Aprovechan el calor de la PS5 para mantener la piz...
- Guía compra AMD Ryzen 3, Ryzen 5, Ryzen 7 y Ryzen 9
- 50 cosas que puedes pedirle a Alexa y no conocías
- Mover archivos más rápido en Windows con "Enviar a"
- La Comisión Europea pide a Apple que elimine el ge...
- Grabar pantalla en macOS
- Apple presenta Share Item Location, la función par...
- Microsoft cambiará actualizaciones de Windows para...
- D-Link no solucionará una vulnerabilidad crítica q...
- Polvo cerámico mejora hasta un 72% el rendimiento ...
- Concatenación de ficheros comprimidos para infecta...
- Filtran datos de empleados de Amazon, McDonald's, ...
- El código IUA escrito en la roseta de fibra óptica...
- Fibra luminosa, descubierta por accidente, podría ...
- Canadá prohíbe el uso de TikTok
- Google tumbó la web de este matrimonio por hacerle...
- Visualizar con Grafana los eventos del IDS/IPS Sur...
- China está usando la IA de Meta para fines militares
- Multa de 85 millones a Telefónica en Estados Unido...
- Vulnerabilidad API de la web de Kia permitió a ata...
- Google revela el primer fallo de seguridad descubi...
- La IA llega a Paint y Notepad en Windows 11
- Alemania redacta una ley para proteger a los inves...
- Microsoft ralentizó el Panel de Control de Windows...
- Guías Equivalencias de procesadores Intel y AMD [G...
- Roban 15 mil credenciales en Git y hay 10 mil repo...
- Publican información del creador del infostealer "...
- Vulnerabilidad RCE en MS SharePoint explotada acti...
- Panel de Control Grafana para el WAF de Apache-Ngi...
- Cómo visualizar los registros de Apache/Nginx en m...
- ► septiembre (Total: 50 )
-
▼
noviembre
(Total:
31
)
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un Actor de Amenazas que opera bajo el nombre de usuario Nam3L3ss ha explotado una vulnerabilidad crítica en MOVEit de 2023, un software ...
-
Los procesadores Intel y AMD han vivido una importante renovación en los últimos dos años. El gigante de Sunnyvale mantuvo su apuesta por ...
Vulnerabilidad RCE en MS SharePoint explotada activamente
Una vulnerabilidad de ejecución remota de código (RCE) de Microsoft SharePoint divulgada recientemente como CVE-2024-38094 está siendo explotada para obtener acceso inicial a las redes corporativas.
Microsoft solucionó la vulnerabilidad el 9 de julio de 2024, como parte del paquete del martes de parches de julio, marcando el problema como "importante". La semana pasada, CISA agregó CVE-2024-38094 al Catálogo de vulnerabilidades explotadas conocidas (KEV), pero no compartió cómo se está aprovechando la falla en los ataques actuales.
Un nuevo informe de Rapid7 esta semana arroja luz sobre cómo los atacantes explotan la falla de SharePoint, afirmando que se utilizó en una violación de la red que fueron llamados a investigar. "Nuestra investigación descubrió a un atacante que accedió a un servidor sin autorización y se movió lateralmente a través de la red, comprometiendo todo el dominio", se lee en el informe relacionado. "El atacante no fue detectado durante dos semanas. Rapid7 determinó que el vector de acceso inicial era la explotación de una vulnerabilidad, CVE 2024-38094, dentro del servidor SharePoint local".
Rapid7 ahora informa que los atacantes utilizaron CVE-2024-38094 para obtener acceso no autorizado a un servidor SharePoint vulnerable e instalar una webshell. La investigación mostró que el servidor fue explotado utilizando una prueba de concepto de SharePoint divulgada públicamente. Aprovechando su acceso inicial, el atacante comprometió una cuenta de servicio de Microsoft Exchange con privilegios de administrador de dominio y obtuvo acceso elevado.
Luego, el atacante instaló Horoung Antivirus, lo que creó un conflicto que deshabilitó las defensas de seguridad y perjudicó la detección. Horoung Antivirus es un software antivirus legal y popular en China que se puede instalar desde Microsoft Store. En particular, la instalación de Horoung provocó un conflicto con los productos de seguridad activos del sistema. Esto resultó en una caída de estos servicios. Detener las soluciones de seguridad actuales del sistema permitió al atacante tener libertad para perseguir objetivos posteriores, relacionando así esta actividad maliciosa con el deterioro de las defensas, lo que les permitió instalar Impacket para el movimiento lateral.
Específicamente, el atacante realizó las siguientes tareas:
- utilizó un script (hrword install.bat) para instalar Huorong Antivirus en el sistema, configurar un servicio personalizado (sysdiag), ejecutar un controlador (sysdiag_win10.sys) y ejecutar HRSword.exe usando un script VBS.
- Esta configuración provocó múltiples conflictos en la asignación de recursos, los controladores cargados y los servicios activos, lo que provocó que los servicios antivirus legítimos de la empresa fallaran y quedaran impotentes.
- En la siguiente etapa, el atacante utilizó Mimikatz para la recolección de credenciales, Fast Reverse Proxy (FRP) para acceso remoto y configuró tareas programadas para persistencia.
- Para evitar la detección, desactivaron Windows Defender, alteraron los registros de eventos y manipularon el registro del sistema en los sistemas comprometidos.
- Se utilizaron herramientas adicionales como everything.exe, Certify.exe y kerbrute para el escaneo de red, la generación de certificados ADFS y los tickets de Active Directory por fuerza bruta.
- Las copias de seguridad de terceros también fueron objeto de destrucción, pero los atacantes fracasaron en sus intentos de comprometerlas.
- Aunque intentar borrar las copias de seguridad es típico en los ataques de ransomware, para evitar una fácil recuperación, Rapid7 no observó el cifrado de datos, por lo que se desconoce el tipo de ataque.
Con la explotación activa en marcha, los administradores de sistemas que no hayan aplicado actualizaciones de SharePoint desde junio de 2024 deben hacerlo lo antes posible.
Fuente: BC
Vía:
https://blog.segu-info.com.ar/2024/11/vulnerabilidad-rce-en-ms-sharepoint.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.