Un ataque sofisticado que aprovecha una vulnerabilidad crítica en Microsoft SharePoint para comprometer un dominio completo.
Este ataque no fue detectado durante dos semanas, lo que demuestra la evolución de las tácticas de los atacantes y la importancia de medidas de seguridad sólidas.
Los atacantes obtuvieron acceso inicial explotando CVE-2024-38094, una vulnerabilidad de ejecución remota de código (RCE) en servidores SharePoint locales. Utilizaron una serie de solicitudes GET y POST para implementar un shell web llamado “ghostfile93.aspx” en el sistema de destino.
El equipo de respuesta a incidentes de Rapid7 descubrió la primera infracción, que se produjo al explotar CVE 2024-38094, una vulnerabilidad de Microsoft SharePoint que permite a los atacantes ejecutar código remoto.
Una vez dentro de la red, los piratas informáticos se movieron lateralmente y comprometieron una cuenta de servicio de Microsoft Exchange con privilegios de administrador de dominio. Utilizaron una variedad de herramientas y técnicas para expandir su presencia.
Proteja su red y sus terminales con Under Defense MDR: solicite una demostración gratuita
Impacket: intenté instalar y ejecutar esta colección de scripts de Python para interacciones de protocolos de red. Horoung Antivirus: instalé este software antivirus chino para desactivar mi solución de seguridad existente. Proxy inverso rápido (FRP): implementado para mantener el acceso externo a través de firewalls. Vulnerabilidad de Sharepoint explotada (Fuente: RAPID7)
Vulnerabilidad RCE de SharePoint explotada
Los atacantes demostraron conocimientos avanzados sobre técnicas de evasión e intrusión en la red.
Explotación de Active Directory: se utilizaron herramientas como ADExplorer64.exe, NTDSUtil.exe y nxc.exe para mapear entornos AD y recopilar credenciales. Recopilación de credenciales: se utilizó Mimikatz (disfrazado de 66.exe) para extraer información de inicio de sesión. Manipulación de registros: se deshabilitó el registro del sistema y se borraron los registros de eventos para cubrir los rastros. Persistencia: Establece tareas programadas en controladores de dominio para herramientas FRP.
El atacante permaneció sin ser detectado en la red durante dos semanas, tiempo durante el cual intentó comprometer las copias de seguridad de terceros y utilizó herramientas adicionales como Certify.exe para acceder a ADFS para acciones elevadas dentro del entorno de Active Directory. He creado un certificado.
Los piratas informáticos también intentaron cubrir sus huellas alterando los registros del sistema y deshabilitando los mecanismos de registro en los servidores de SharePoint comprometidos. Esta acción obstaculizó gravemente el proceso de investigación.
Una táctica notable empleada por los atacantes fue la instalación de Huorong AntiVirus. Esto creó un conflicto con los productos de seguridad existentes, deshabilitándolos efectivamente y permitiendo a los atacantes más libertad para perseguir sus objetivos.
Este incidente destacó varios puntos importantes para los profesionales de la ciberseguridad.
Especialmente en servidores públicos, es importante parchear rápidamente las vulnerabilidades conocidas. Se requieren capacidades de monitoreo continuo y respuesta rápida a incidentes. Los atacantes se están volviendo cada vez más sofisticados en el uso de herramientas y software legítimos para evadir la detección.
La explotación del acceso inicial seguirá siendo un tema común en 2024, por lo que las organizaciones deben priorizar las herramientas de seguridad y los procedimientos de respuesta eficientes para reducir el riesgo de una infracción importante.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
