Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1019
)
-
▼
noviembre
(Total:
67
)
- El Constitucional de España absuelve finalmente a ...
- Vulnerabilidad crítica de Laravel
- Nuevo ransomware Helldown
- Vulnerabilidad Crítica en Routers D-Link Fuera de ...
- Microsoft presenta Windows 365 Link, su Mini-PC pa...
- Aprovechan servidores Jupyter mal configurados par...
- Apple soluciona dos vulnerabilidades Zero-Days en ...
- Microsoft prepara un ordenador cuántico de uso com...
- IA logra operar sin intervención humana
- 12 aplicaciones de Android graban conversaciones s...
- Next SBC, el espectacular mini PC que te cabe en l...
- El chatbot Gemini de Google le responde a un usuar...
- Alemania y Finlandia denuncian el corte del cable ...
- Una vulnerabilidad en el complemento SSL de WordPr...
- EE.UU. quiere obligar a Google a vender Chrome por...
- ¿Qué significa PON, GPON, XG-PON, 10G-EPON…?
- Comandos de Docker básicos y avanzados
- Memorias DIMM vs UDIMM vs CUDIMM vs RDIMM vs SODIMM
- Microsoft confirma que está creando una IA con 100...
- AsusWRT 4.0 - 5.0 (Firmware 3.0.0.6)
- Qué es LLaMA, cómo funciona y cómo se puede probar...
- Qué placa base elegir: Guía de compras para Intel ...
- Las mejores distribuciones de Linux para usuarios ...
- Llega a España el malware ToxicPanda: un troyano b...
- Extraen datos de casi 500 millones de usuarios de ...
- La Guardia Civil desactiva Cristal Azul, el canal ...
- Google presenta dos funciones seguridad para Andro...
- OPNsense: un router y firewall gratuito
- El SSD más rápido del mundo con 60 TB con una velo...
- Guía de compra de todas las RaspBerry Pi
- Qué es una NPU, cómo funciona y por qué es importa...
- El peligro de los dominio .zip
- AMD despedirá al 4 % de su plantilla para centrars...
- Informe dark web de Google
- Apple Maps sin conexión: cómo descargar mapas y us...
- Hachazos y amputaciones por el Wifi: violenta trif...
- VMware Workstation y Fusion ahora son gratis
- Aprovechan el calor de la PS5 para mantener la piz...
- Guía compra AMD Ryzen 3, Ryzen 5, Ryzen 7 y Ryzen 9
- 50 cosas que puedes pedirle a Alexa y no conocías
- Mover archivos más rápido en Windows con "Enviar a"
- La Comisión Europea pide a Apple que elimine el ge...
- Grabar pantalla en macOS
- Apple presenta Share Item Location, la función par...
- Microsoft cambiará actualizaciones de Windows para...
- D-Link no solucionará una vulnerabilidad crítica q...
- Polvo cerámico mejora hasta un 72% el rendimiento ...
- Concatenación de ficheros comprimidos para infecta...
- Filtran datos de empleados de Amazon, McDonald's, ...
- El código IUA escrito en la roseta de fibra óptica...
- Fibra luminosa, descubierta por accidente, podría ...
- Canadá prohíbe el uso de TikTok
- Google tumbó la web de este matrimonio por hacerle...
- Visualizar con Grafana los eventos del IDS/IPS Sur...
- China está usando la IA de Meta para fines militares
- Multa de 85 millones a Telefónica en Estados Unido...
- Vulnerabilidad API de la web de Kia permitió a ata...
- Google revela el primer fallo de seguridad descubi...
- La IA llega a Paint y Notepad en Windows 11
- Alemania redacta una ley para proteger a los inves...
- Microsoft ralentizó el Panel de Control de Windows...
- Guías Equivalencias de procesadores Intel y AMD [G...
- Roban 15 mil credenciales en Git y hay 10 mil repo...
- Publican información del creador del infostealer "...
- Vulnerabilidad RCE en MS SharePoint explotada acti...
- Panel de Control Grafana para el WAF de Apache-Ngi...
- Cómo visualizar los registros de Apache/Nginx en m...
- ► septiembre (Total: 50 )
-
▼
noviembre
(Total:
67
)
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Vulnerabilidad RCE en MS SharePoint explotada activamente
Una vulnerabilidad de ejecución remota de código (RCE) de Microsoft SharePoint divulgada recientemente como CVE-2024-38094 está siendo explotada para obtener acceso inicial a las redes corporativas.
Microsoft solucionó la vulnerabilidad el 9 de julio de 2024, como parte del paquete del martes de parches de julio, marcando el problema como "importante". La semana pasada, CISA agregó CVE-2024-38094 al Catálogo de vulnerabilidades explotadas conocidas (KEV), pero no compartió cómo se está aprovechando la falla en los ataques actuales.
Un nuevo informe de Rapid7 esta semana arroja luz sobre cómo los atacantes explotan la falla de SharePoint, afirmando que se utilizó en una violación de la red que fueron llamados a investigar. "Nuestra investigación descubrió a un atacante que accedió a un servidor sin autorización y se movió lateralmente a través de la red, comprometiendo todo el dominio", se lee en el informe relacionado. "El atacante no fue detectado durante dos semanas. Rapid7 determinó que el vector de acceso inicial era la explotación de una vulnerabilidad, CVE 2024-38094, dentro del servidor SharePoint local".
Rapid7 ahora informa que los atacantes utilizaron CVE-2024-38094 para obtener acceso no autorizado a un servidor SharePoint vulnerable e instalar una webshell. La investigación mostró que el servidor fue explotado utilizando una prueba de concepto de SharePoint divulgada públicamente. Aprovechando su acceso inicial, el atacante comprometió una cuenta de servicio de Microsoft Exchange con privilegios de administrador de dominio y obtuvo acceso elevado.
Luego, el atacante instaló Horoung Antivirus, lo que creó un conflicto que deshabilitó las defensas de seguridad y perjudicó la detección. Horoung Antivirus es un software antivirus legal y popular en China que se puede instalar desde Microsoft Store. En particular, la instalación de Horoung provocó un conflicto con los productos de seguridad activos del sistema. Esto resultó en una caída de estos servicios. Detener las soluciones de seguridad actuales del sistema permitió al atacante tener libertad para perseguir objetivos posteriores, relacionando así esta actividad maliciosa con el deterioro de las defensas, lo que les permitió instalar Impacket para el movimiento lateral.
Específicamente, el atacante realizó las siguientes tareas:
- utilizó un script (hrword install.bat) para instalar Huorong Antivirus en el sistema, configurar un servicio personalizado (sysdiag), ejecutar un controlador (sysdiag_win10.sys) y ejecutar HRSword.exe usando un script VBS.
- Esta configuración provocó múltiples conflictos en la asignación de recursos, los controladores cargados y los servicios activos, lo que provocó que los servicios antivirus legítimos de la empresa fallaran y quedaran impotentes.
- En la siguiente etapa, el atacante utilizó Mimikatz para la recolección de credenciales, Fast Reverse Proxy (FRP) para acceso remoto y configuró tareas programadas para persistencia.
- Para evitar la detección, desactivaron Windows Defender, alteraron los registros de eventos y manipularon el registro del sistema en los sistemas comprometidos.
- Se utilizaron herramientas adicionales como everything.exe, Certify.exe y kerbrute para el escaneo de red, la generación de certificados ADFS y los tickets de Active Directory por fuerza bruta.
- Las copias de seguridad de terceros también fueron objeto de destrucción, pero los atacantes fracasaron en sus intentos de comprometerlas.
- Aunque intentar borrar las copias de seguridad es típico en los ataques de ransomware, para evitar una fácil recuperación, Rapid7 no observó el cifrado de datos, por lo que se desconoce el tipo de ataque.
Con la explotación activa en marcha, los administradores de sistemas que no hayan aplicado actualizaciones de SharePoint desde junio de 2024 deben hacerlo lo antes posible.
Fuente: BC
Vía:
https://blog.segu-info.com.ar/2024/11/vulnerabilidad-rce-en-ms-sharepoint.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.