最近暴露的 Microsoft SharePoint 云尔代码实践 ( RCE ) 轻佻（编号为 CVE-2024-38094）正被用来获取对企业蚁集的开动看望权限欧洲杯体育。

CVE-2024-38094 是一个高严重性（CVSS v3.1 评分：7.2）RCE 轻佻，影响 Microsoft SharePoint，这是一个庸碌使用的基于 Web 的平台，用作内联网、文档解决和谐和用具，不错与 Microsoft 365 无缝集成应用行动。

微软于 2024 年 7 月建造了该轻佻，手脚 7 月补丁星期二包的一部分，将该问题标志为"紧迫"。

上周，CISA 将 CVE-2024-38094 添加到已知被哄骗的轻佻目次中，但莫得暴露该轻佻是如安在攻击中被哄骗的。 

Rapid7 发布的一份新评释注解揭示了攻击者若何哄骗 SharePoint 轻佻，称该轻佻被用于侦查他们侦查的蚁集轻佻。

联系评释注解中写说念："咱们的侦查发现，又名攻击者未经授权看望了做事器，并在蚁集合横向移动，从而毁伤了所有这个词域。"  

攻击者在两周内仍未被发现。Rapid7 细则开动看望向量是哄骗腹地 SharePoint 做事器内的轻佻 CVE 2024-38094。

使用 AV 毁伤安全

Rapid7 咫尺评释注解称，攻击者哄骗 CVE-2024-38094 未经授权看望易受攻击的 SharePoint 做事器并植入 Webshell。

侦查炫夸，该做事器是通过公开暴露的 SharePoint 主意考证轻佻被哄骗的。攻击者哄骗其开动看望权限，攻击了具有域解决员权限的 Microsoft Exchange 做事帐户，从而得到了更高的看望权限。接下来，攻击者装配了 Horoung Antivirus，这会形成突破，导致安全耀眼失效并放松检测才能，从而允许他们装配 Impacket 进行横向移动。

具体来说，攻击者使用批处理剧本（" hrword install.bat "）在系统上装配 Huorong Antivirus，建立自界说做事（" sysdiag "），实践驱动行动（" sysdiag_win10.sys "），并运行" HRSword " .exe' 使用 VBS 剧本。

这种建立导致了资源分拨、加载驱动行动和举止做事等方面的多重突破，导致该公司的正当防病毒做事崩溃而窝囊为力。

攻击的时辰轴

在接下来的阶段，攻击者使用 Mimikatz 进行把柄汇集，使用 FRP 进行云尔看望，并建立运筹帷幄任务进行捏久化。

为了幸免被发现，他们禁用了 Windows Defender、鼎新了事件日记并主管了受感染系统上的系统日记纪录。

everything.exe、Certify.exe 和 kerbrute 等其他用具用于蚁集扫描、ADFS 文凭生成和暴力破解 Active Directory 票证。

第三方备份也成为攻击的计较，但攻击者试图攻击这些备份却失败了。

尽管尝试擦除备份是胁迫软件攻击中的典型作念法，为了防护跋扈复原，Rapid7 莫得不雅察到数据加密，因此攻击类型未知。

跟着主动哄骗的进行欧洲杯体育，自 2024 年 6 月以来未应用 SharePoint 更新的系统解决员必须尽快实践此操作。