Μια εξελιγμένη επίθεση έθεσε σε κίνδυνο ένα ολόκληρο domain, εκμεταλλευόμενη μια κρίσιμη ευπάθεια RCE στο Microsoft SharePoint.
Δείτε επίσης: Η Yahoo αποκαλύπτει ελαττώματα του NetIQ iManager που επιτρέπουν RCE
Η επίθεση, η οποία παρέμεινε απαρατήρητη για δύο εβδομάδες, δείχνει τις εξελισσόμενες τακτικές των χάκερ και τη σημασία των ισχυρών μέτρων ασφαλείας.
Οι εισβολείς απέκτησαν αρχική πρόσβαση εκμεταλλευόμενοι το CVE-2024-38094, μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) σε έναν διακομιστή SharePoint εσωτερικής εγκατάστασης. Χρησιμοποίησαν μια σειρά από αιτήματα GET και POST για να αναπτύξουν ένα webshell με το όνομα “ghostfile93.aspx” στο σύστημα προορισμού.
Perseverance: Μελετά τους αρχαιότερους βράχους στον Άρη
Μυστήρια drones στο New Jersey: Τι λέει το Πεντάγωνο;
Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη
Η ομάδα Resident Response της Rapid7 αποκάλυψε την αρχική παραβίαση, η οποία συνέβη μέσω της εκμετάλλευσης του CVE 2024-38094, μιας ευπάθειας στο Microsoft SharePoint που επιτρέπει στους εισβολείς να εκτελούν κώδικα εξ αποστάσεως.
Μόλις εισέλθουν στο δίκτυο, οι χάκερ μετακινηνούνται πλευρικά, θέτοντας σε κίνδυνο έναν λογαριασμό υπηρεσίας Microsoft Exchange με δικαιώματα διαχειριστή τομέα. Χρησιμοποίησαν διάφορα εργαλεία και τεχνικές για να επεκτείνουν τη θέση τους:
- Impacket: Προσπάθησαν να εγκαταστήσουν και να εκτελέσουν αυτήν τη συλλογή σεναρίων Python για αλληλεπίδραση πρωτοκόλλου δικτύου.
- Horoung Antivirus: Εγκατέστησαν αυτό το κινεζικό λογισμικό AV για να απενεργοποιήσουν τις υπάρχουσες λύσεις ασφαλείας.
- Fast Reverse Proxy (FRP): Χρησιμοποιήθηκε για τη διατήρηση της εξωτερικής πρόσβασης μέσω τείχους προστασίας.
Δείτε ακόμα: CISA: Κρίσιμο ελάττωμα RCE της Fortinet χρησιμοποιείται σε επιθέσεις
Οι εισβολείς επέδειξαν εξελιγμένες γνώσεις σχετικά με τις τεχνικές διείσδυσης και αποφυγής δικτύου:
- Active Directory Exploitation: Εργαλεία όπως τα ADExplorer64.exe, NTDSUtil.exe και nxc.exe χρησιμοποιήθηκαν για τη χαρτογράφηση του περιβάλλοντος AD και τη συλλογή διαπιστευτηρίων.
- Credential Harvesting: Το Mimikatz (μεταμφιεσμένο ως 66.exe) χρησιμοποιήθηκε για την εξαγωγή πληροφοριών σύνδεσης.
- Log Tampering: Χρησιμοποιήθηκε για την απενεργοποίηση καταγραφής συστήματος και εκκαθάριση αρχείων καταγραφής συμβάντων για την κάλυψη των ιχνών τους.
- Persistence: Καθιερώθηκαν προγραμματισμένες εργασίες στον ελεγκτή τομέα για το εργαλείο FRP.
Οι εισβολείς παρέμειναν απαρατήρητοι στο δίκτυο για δύο εβδομάδες, κατά τις οποίες προσπάθησαν να παραβιάσουν αντίγραφα ασφαλείας τρίτων και χρησιμοποίησαν πρόσθετα εργαλεία όπως το Certify.exe για να δημιουργήσουν πιστοποιητικά ADFS για αυξημένες ενέργειες στο περιβάλλον της υπηρεσίας καταλόγου Active Directory. Οι χάκερ προσπάθησαν επίσης να καλύψουν τα ίχνη τους παραβιάζοντας τα αρχεία καταγραφής του συστήματος και απενεργοποιώντας τους μηχανισμούς καταγραφής στον παραβιασμένο διακομιστή του SharePoint. Η ενέργεια αυτή παρεμπόδισε σημαντικά τη διαδικασία έρευνας.
Δείτε επίσης: Διακομιστές Linux και UNIX εκτεθειμένοι σε επιθέσεις CUPS RCE
Ένα ελάττωμα RCE, όπως αυτό του SharePoint, είναι μια σημαντική ευπάθεια ασφαλείας που επιτρέπει σε έναν εισβολέα να εκτελέσει αυθαίρετο κώδικα σε ένα σύστημα στόχο. Αυτός ο τύπος ελαττώματος συχνά προκύπτει λόγω ανεπαρκούς επικύρωσης εισόδου, κακής χρήσης των API ή σφαλμάτων διαμόρφωσης που εκθέτουν τα συστήματα σε μη εξουσιοδοτημένη πρόσβαση. Μετά την εκμετάλλευση, τα τρωτά σημεία RCE μπορούν να χρησιμοποιηθούν για την εγκατάσταση κακόβουλου λογισμικού, την κλοπή δεδομένων ή τη διάδοση περαιτέρω επιθέσεων, θέτοντας σοβαρούς κινδύνους τόσο για άτομα όσο και για οργανισμούς. Η αποτροπή αυτών των ελαττωμάτων απαιτεί ισχυρές πρακτικές ασφαλείας, όπως τακτικές ενημερώσεις λογισμικού, έλεγχοι κώδικα και εφαρμογή αυστηρών ελέγχων πρόσβασης.
Πηγή: cybersecuritynews