Una vulnerabilidad de ejecución remota de código (RCE) de Microsoft SharePoint divulgada recientemente como CVE-2024-38094 está siendo explotada para obtener acceso inicial a las redes corporativas.

Microsoft solucionó la vulnerabilidad el 9 de julio de 2024, como parte del paquete del martes de parches de julio, marcando el problema como "importante". La semana pasada, CISA agregó CVE-2024-38094 al Catálogo de vulnerabilidades explotadas conocidas (KEV), pero no compartió cómo se está aprovechando la falla en los ataques actuales.

Un nuevo informe de Rapid7 esta semana arroja luz sobre cómo los atacantes explotan la falla de SharePoint, afirmando que se utilizó en una violación de la red que fueron llamados a investigar. "Nuestra investigación descubrió a un atacante que accedió a un servidor sin autorización y se movió lateralmente a través de la red, comprometiendo todo el dominio", se lee en el informe relacionado. "El atacante no fue detectado durante dos semanas. Rapid7 determinó que el vector de acceso inicial era la explotación de una vulnerabilidad, CVE 2024-38094, dentro del servidor SharePoint local".

Rapid7 ahora informa que los atacantes utilizaron CVE-2024-38094 para obtener acceso no autorizado a un servidor SharePoint vulnerable e instalar una webshell. La investigación mostró que el servidor fue explotado utilizando una prueba de concepto de SharePoint divulgada públicamente. Aprovechando su acceso inicial, el atacante comprometió una cuenta de servicio de Microsoft Exchange con privilegios de administrador de dominio y obtuvo acceso elevado.

Luego, el atacante instaló Horoung Antivirus, lo que creó un conflicto que deshabilitó las defensas de seguridad y perjudicó la detección. Horoung Antivirus es un software antivirus legal y popular en China que se puede instalar desde Microsoft Store. En particular, la instalación de Horoung provocó un conflicto con los productos de seguridad activos del sistema. Esto resultó en una caída de estos servicios. Detener las soluciones de seguridad actuales del sistema permitió al atacante tener libertad para perseguir objetivos posteriores, relacionando así esta actividad maliciosa con el deterioro de las defensas, lo que les permitió instalar Impacket para el movimiento lateral. 

Específicamente, el atacante realizó las siguientes tareas:

• utilizó un script (hrword install.bat) para instalar Huorong Antivirus en el sistema, configurar un servicio personalizado (sysdiag), ejecutar un controlador (sysdiag_win10.sys) y ejecutar HRSword.exe usando un script VBS.
• Esta configuración provocó múltiples conflictos en la asignación de recursos, los controladores cargados y los servicios activos, lo que provocó que los servicios antivirus legítimos de la empresa fallaran y quedaran impotentes.
• En la siguiente etapa, el atacante utilizó Mimikatz para la recolección de credenciales, Fast Reverse Proxy (FRP) para acceso remoto y configuró tareas programadas para persistencia.
• Para evitar la detección, desactivaron Windows Defender, alteraron los registros de eventos y manipularon el registro del sistema en los sistemas comprometidos.
• Se utilizaron herramientas adicionales como everything.exe, Certify.exe y kerbrute para el escaneo de red, la generación de certificados ADFS y los tickets de Active Directory por fuerza bruta.
• Las copias de seguridad de terceros también fueron objeto de destrucción, pero los atacantes fracasaron en sus intentos de comprometerlas.
• Aunque intentar borrar las copias de seguridad es típico en los ataques de ransomware, para evitar una fácil recuperación, Rapid7 no observó el cifrado de datos, por lo que se desconoce el tipo de ataque.

Con la explotación activa en marcha, los administradores de sistemas que no hayan aplicado actualizaciones de SharePoint desde junio de 2024 deben hacerlo lo antes posible.

Fuente: BC

Vía:
https://blog.segu-info.com.ar/2024/11/vulnerabilidad-rce-en-ms-sharepoint.html