企业网络通过 Microsoft SharePoint 远程代码执行漏洞受到攻击 媒体

利用 SharePoint 漏洞的网络攻击

重点信息

攻击者利用 Microsoft SharePoint 中的高严重性远程代码执行漏洞CVE202438094成功入侵整个企业网络，且未被发现长达两周。此漏洞已被纳入网络安全和基础设施安全局的已知利用漏洞目录中。攻击者通过该漏洞获得初始访问权限，从而破坏了具有提升权限的 Microsoft Exchange 服务账户。攻击者还使用了多种工具和方法确保在目标网络内的持久性和隐蔽性。

最近，攻击者利用了 Microsoft SharePoint 中的一个高严重性远程代码执行漏洞 (CVE202438094)，成功入侵了整个企业网络域，并在长达两周内未被察觉。BleepingComputer 的报告显示，攻击者通过这个漏洞成功进入目标 SharePoint 服务器，并攻破了一个拥有高权限的 Microsoft Exchange 服务账户。

根据 Rapid7 的分析，攻击者利用这个漏洞获得初步访问后，部署了 Huorong Antivirus，并安装了 Impacket，导致合法的防病毒系统被停用，从而实现了网络内的横向移动。在攻击过程中，攻击者使用了 Mimikatz 和 FRP 等工具，分别用于凭据的获取和远程访问。此外，他们还部署了其他网络扫描工具，进行了 ADFS 证书生成，利用暴力破解技术攻击 Active Directory 票据，并通过定时任务确保持久性，同时停用 Windows Defender 和受影响系统的日志，以掩盖恶意活动。

研究人员观察到，此次攻击未进行数据加密。

猎豹加速官网攻击方法详细信息漏洞类型远程代码执行漏洞目标系统Microsoft SharePoint初始访问方法利用 SharePoint 漏洞主要工具Huorong Antivirus、Impacket、Mimikatz、FRP 等持久性和隐蔽性停用 Windows Defender、清除系统日志

这次事件提醒我们，企业必须保持对新漏洞的警惕，并确保及时修补软件以防止类似攻击。如果您想深入了解此事件的细节，可以查看相关链接：攻击利用 SharePoint 漏洞的情况。