【样本分享】CVE-2024-38094漏洞被利用：攻击者通过Microsoft SharePoint Server获得域访问权限

概要：

最近，Rapid7的事件响应团队报告了一起严重的Microsoft SharePoint服务器漏洞事件，攻击者通过利用CVE-2024-38094漏洞获得了整个域的访问权限，影响了关键系统。这一事件凸显了对本地SharePoint服务器漏洞进行快速检测和响应的重要性。

主要内容：

调查始于Rapid7注意到涉及具有域管理员权限的Microsoft Exchange服务账户的可疑活动。攻击者利用CVE-2024-38094漏洞，成功执行远程代码，从而在网络中横向移动，持续了两周而未被发现。攻击者利用被攻陷的Exchange服务账户安装了Horoung Antivirus，这一杀毒软件干扰了系统的安全措施，导致现有安全解决方案崩溃，攻击者得以自由追求其目标。

Rapid7指出，Horoung的安装与现有安全产品发生冲突，导致这些服务崩溃，攻击者因此能够安装和运行恶意工具，包括Impacket，以进行横向移动。攻击者从被攻陷的SharePoint服务器部署了Mimikatz以提取凭证，并篡改系统日志以掩盖其踪迹，报告显示“系统日志的大部分功能被禁用”，使得检测变得困难。

此外，攻击者利用名为ghostfile93.aspx的webshell建立持久访问，并从单一外部IP生成大量HTTP POST请求。这一webshell及其他恶意可执行文件的存在，使攻击者能够绘制网络图、收集凭证并建立外部连接。Rapid7的分析强调了强大日志记录和早期检测措施的必要性，建议审查安全策略、加强日志监控，并及时应用最新补丁，以防止类似的安全漏洞。