Gần đây, một lỗ hổng thực thi mã từ xa (RCE) trên Microsoft SharePoint, được định danh với mã CVE-2024-38094, đã được phát hiện và đang bị khai thác để tấn công xâm nhập vào mạng công ty.

CVE-2024-38094 có mức độ nghiêm trọng cao (điểm CVSS: 7.2) và ảnh hưởng đến SharePoint, một nền tảng web phổ biến để xây dựng các trang web nội bộ, quản lý tài liệu và có khả năng tích hợp liền mạch với các ứng dụng của Microsoft 365. 

Microsoft đã khắc phục lỗ hổng này vào ngày 9 tháng 7 năm 2024 trong bản cập nhật bảo mật Patch Tuesday vào tháng 7. Tuần trước, CISA đã thêm CVE-2024-38094 vào danh mục lỗ hổng đã biết nhưng không cung cấp thông tin chi tiết về cách lỗ hổng này bị khai thác trong các cuộc tấn công. Sau đó, có báo cáo mô tả cách kẻ tấn công khai thác lỗ hổng SharePoint khi nó được sử dụng trong một vụ vi phạm mạng được điều tra.

Báo cáo nêu rằng kẻ tấn công đã truy cập trái phép vào máy chủ, tấn công mạng ngang hàng và xâm phạm toàn bộ tên miền mà không bị phát hiện trong hai tuần. Rapid7 xác định rằng kẻ tấn công đã khai thác CVE-2024-38094 trên máy chủ SharePoint dễ bị tấn công để cài đặt webshell.

Sau khi có quyền truy cập, kẻ tấn công đã xâm nhập vào tài khoản dịch vụ Microsoft Exchange với quyền quản trị viên, từ đó mở rộng quyền truy cập. Chúng đã cài đặt Horoung Antivirus, gây ra xung đột với hệ thống phòng thủ và làm suy yếu khả năng phát hiện. Điều này cho phép kẻ tấn công cài đặt Impacket để xâm nhập ngang hàng trong hệ thống.

Kẻ tấn công đã sử dụng một tập lệnh để cài đặt phần mềm độc hại và thao tác trên hệ thống, khiến các dịch vụ diệt virus của công ty không còn khả năng bảo vệ hệ thống. Trong giai đoạn tiếp theo, kẻ tấn công đã sử dụng Mimikatz để thu thập thông tin xác thực như mật khẩu và thông tin đăng nhập, sử dụng FRP để truy cập từ xa và thiết lập các tác vụ được lập lịch nhằm duy trì quyền kiểm soát trên hệ thống bị xâm nhập.

Để tránh bị phát hiện, kẻ tấn công đã vô hiệu hóa Windows Defender, thay đổi các bản log sự kiện và thao túng hoạt động ghi log trên các hệ thống đã bị chiếm quyền.

Ngoài ra, kẻ tấn công còn sử dụng các công cụ khác như everything.exe để quét mạng, Certify.exe để tạo chứng chỉ ADFS (Active Directory Federation Services), và kerbrute để thử bẻ khóa dịch vụ của Active Directory.

Kẻ tấn công đã cố gắng xóa bỏ các bản sao lưu bên ngoài nhằm giảm khả năng khôi phục dữ liệu của nạn nhân, nhưng âm mưu này đã không thành công. Điều đáng chú ý là kẻ tấn công không mã hóa dữ liệu, khác với các cuộc tấn công ransomware thông thường, làm cho loại hình tấn công này vẫn chưa được xác định rõ ràng.

Với việc khai thác lỗ hổng đang diễn ra, các quản trị viên hệ thống chưa cập nhật SharePoint từ tháng 6 năm 2024 được khuyến cáo cần thực hiện cập nhật ngay để bảo vệ hệ thống của mình.

Nguồn: bleeping computer