Een recent openbaar gemaakte kwetsbaarheid voor uitvoering van externe code (RCE) in Microsoft SharePoint, gevolgd als CVE-2024-38094, wordt uitgebuit om aanvankelijke toegang te krijgen tot bedrijfsnetwerken.

CVE-2024-38094 is een ernstige (CVSS v3.1 score: 7.2) RCE-kwetsbaarheid die invloed heeft op Microsoft SharePoint, een veelgebruikt web-based platform dat functioneert als een intranet, documentbeheer- en samenwerkingshulpmiddel dat naadloos kan integreren met Microsoft 365-apps.

Microsoft repareerde de kwetsbaarheid op 9 juli 2024, als onderdeel van het July Patch Tuesday-pakket, en markeerde het probleem als “belangrijk”.

Vorige week voegde CISA CVE-2024-38094 toe aan de Catalogus van Bekende Uitgebuite Kwetsbaarheden, maar deelde niet hoe de kwetsbaarheid werd uitgebuit in aanvallen.

Een nieuw rapport van Rapid7 deze week werpt licht op hoe aanvallers de SharePoint-kwetsbaarheid uitbuiten, en stelt dat het werd gebruikt in een netwerkbreuk die ze moesten onderzoeken.

“Ons onderzoek onthulde een aanvaller die zich ongeautoriseerd toegang tot een server verschafte en lateraal over het netwerk bewoog, waarbij het hele domein werd gecompromitteerd,” luidt het gerelateerde rapport.

“De aanvaller bleef twee weken onopgemerkt. Rapid7 stelde vast dat de aanvankelijke toegangsvector de uitbuiting was van een kwetsbaarheid, CVE 2024-38094, binnen de on-premise SharePoint-server.”

### Het gebruik van AV’s om de beveiliging te verzwakken

Rapid7 meldt nu dat aanvallers CVE-2024-38094 gebruikten om ongeautoriseerde toegang te krijgen tot een kwetsbare SharePoint-server en een webshell te installeren. Het onderzoek toonde aan dat de server werd uitgebuit met behulp van een openbaar gemaakte proof-of-concept exploit voor SharePoint.

Door hun aanvankelijke toegang te benutten, compromitteerde de aanvaller een Microsoft Exchange-serviceaccount met domeinbeheerderprivileges, waardoor ze verhoogde toegang kregen.

Vervolgens installeerde de aanvaller de Horoung Antivirus, die een conflict veroorzaakte dat beveiligingsmaatregelen uitschakelde en detectie verstoorde, waardoor het mogelijk werd Impacket te installeren voor laterale beweging.

Specifiek gebruikte de aanvaller een batchscript (‘hrword install.bat’) om Huorong Antivirus op het systeem te installeren, een aangepaste dienst (‘sysdiag’) op te zetten, een driver (‘sysdiag_win10.sys’) uit te voeren en ‘HRSword.exe’ te laten draaien met een VBS-script.

Deze configuratie veroorzaakte meerdere conflicten in middelen toewijzing, geladen drivers en actieve diensten, waardoor de legitieme antivirusdiensten van het bedrijf gecrasht werden en machteloos raakten.

In de volgende fase gebruikte de aanvaller Mimikatz voor het verzamelen van inloggegevens, FRP voor externe toegang, en stelde geplande taken in voor persistentie.

Om detectie te voorkomen, schakelden ze Windows Defender uit, veranderden logboeken van gebeurtenissen en manipuleerden systeemlogging op de gecompromitteerde systemen.

Aanvullende tools zoals everything.exe, Certify.exe en kerbrute werden gebruikt voor netwerk scanning, ADFS-certificaat generatie, en het brute-forcen van Active Directory-tickets.

Back-ups van derden waren ook doelwit voor vernietiging, maar de aanvallers slaagden er niet in deze te compromitteren.

Hoewel het proberen back-ups te wissen typisch is in ransomware-aanvallen om gemakkelijke herstelmogelijkheden te voorkomen, heeft Rapid7 geen gegevensversleuteling waargenomen, dus het type aanval is onbekend.

Met actieve uitbuiting aan de gang, moeten systeembeheerders die sinds juni 2024 geen SharePoint-updates hebben toegepast, dit zo snel mogelijk doen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----