Hakeri Iskoristili Kritičnu Ranjivost u Microsoft SharePointu
Posljednje izvješće o sigurnosti pokazuje ozbiljne prijetnje za poslovne informatičke infrastrukture. Hakeri su primijećeni kako zloupotrebljavaju visoko ozbiljnu ranjivost u Microsoft SharePointu, što je dovelo do pitanja o sigurnosti korporativnih sustava.
Što se Dogodilo?
Prema istraživačkom timu Rapid7, neimenovani cyber kriminalci su iskoristili ranjivost označenu kao CVE-2024-38094. Ova ranjivost, koja omogućava daljinsko izvršavanje koda (RCE), ima ozbiljnost ocjenu od 7.2 i otkrivena je u sredini srpnja 2024., kada je ispravljen kao dio Patch Tuesday kumulativne nadogradnje.
Kako su Hakeri Raskrinkali Mrežu?
Nakon što su stekli pristup, hakeri su se zadržali u mreži pune dvije tjedna. Tijekom tog perioda, koristili su Fast Reverse Proxy za uspostavljanje vanjske veze, a zatim su koristili alate za enumeraciju Active Directory-a (AD) i takođe su izvodili “dumping” vjerodajnica koristeći različite alate poput NTDSUtil i Mimikatz. Na kraju, instalirali su antivirusno rješenje iz Kine kako bi degradirali ili onemogućili sigurnosne alate na sustavima.
Horoung Antivirus i Njegovi Učinici
Istraživači su primijetili da je “usluga računa instalirala Horoung Antivirus (AV) softver, što nije bilo autorizirano u tom okruženju.” Ova antivirusna aplikacija je popularna u Kini i može se preuzeti s Microsoft Trgovine. Međutim, instalacija Horoung-a uzrokovala je sukob s aktivnim sigurnosnim rješenjima na sustavu, što je rezultiralo padom tih usluga.
Posljedice za Sigurnost
Pauziranjem trenutnih sigurnosnih rješenja, napadači su stekli slobodu za daljnje napade. Ova zlonamerna aktivnost povezana je s ciljem “imairing defenses”, odnosno ometanjem obrambenih mjera sustava.
Reakcija Američke Cybersecurity Agencije
Kako bi se zaštitili od ovakvih prijetnji, Američka Agencija za Cybersecurity i sigurnost infrastrukture (CISA) uključila je ovaj RCE propust u svoj katalog poznatih iskorištenih ranjivosti (KEV), dajući federalnim agencijama strogi rok za rješavanje tog problema ili potpuno prestanak korištenja SharePointa.
Zaključak
U ovoj situaciji, važno je da kompanije budu proaktivne u zaštiti svojih sustava. Praćenje sigurnosnih ažuriranja i svijest o potencijalnim prijetnjama postaju ključni za očuvanje informatičke infrastrukture. Ova situacija služi kao podsjetnik za sve nas o stalnoj potrebi za jačanjem sigurnosnih mjera unutar poslovanja.
