4 de novembro de 2024

Falha crítica no Microsoft SharePoint expõe redes a controle total por atacantes

Compartilhe

Um recente relatório da Rapid7 revelou uma vulnerabilidade crítica em servidores Microsoft SharePoint, conhecida como CVE-2024-38094, que permitiu aos atacantes obter controle total do domínio e comprometer sistemas críticos. Esse incidente demonstra a urgência em identificar e corrigir falhas em servidores SharePoint on-premises para evitar danos maiores.

O Início da Investigação

A investigação começou quando a Rapid7 detectou atividades suspeitas associadas a uma conta de serviço do Microsoft Exchange com privilégios administrativos. A análise revelou que a vulnerabilidade CVE-2024-38094 permitia a execução de código remoto, possibilitando aos invasores um ponto de entrada inicial. Durante duas semanas, os atacantes exploraram essa falha, realizando movimentações laterais indetectáveis pela rede.

Táticas Sofisticadas e Ferramentas de Ataque

Uma das principais táticas usadas foi a instalação do Horoung Antivirus, um produto chinês que desativava sistemas de segurança. Essa prática, chamada de “Impairing Defenses” (T1562), permitiu a desativação de produtos de segurança e facilitou o uso de ferramentas como o Impacket para movimento lateral na rede. Com o controle do servidor SharePoint, os invasores implantaram o Mimikatz para extração de credenciais, desativaram registros do sistema e dificultaram a detecção.

Persistência e Controle

Para manter o acesso ao sistema, foi instalada uma webshell chamada ghostfile93.aspx. Essa ferramenta enviava várias requisições HTTP POST de um IP externo, garantindo persistência e permitindo o controle remoto. A exploração desta vulnerabilidade alerta empresas sobre a importância de monitorar constantemente seus servidores e aplicar atualizações de segurança.

Lições e Reforço na Segurança

Esse comprometimento sublinha a necessidade de reforçar a segurança em servidores SharePoint. Manter sistemas atualizados e realizar auditorias de segurança regulares são práticas essenciais para evitar ameaças e proteger dados sensíveis em ambientes corporativos.

Fonte: BoletimSec

Saiba mais sobre o Seguro Cyber:

Publicado em: seguro cyber

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria "Funcional".
cookielawinfo-checkbox-necessary	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. Os cookies são usados para armazenar o consentimento do usuário para os cookies na categoria "Necessário".
cookielawinfo-checkbox-others	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Outros.
cookielawinfo-checkbox-performance	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Desempenho".
viewed_cookie_policy	11 months	O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Não armazena nenhum dado pessoal.

Manchetes do Mercado