Kritieke SharePoint-kwetsbaarheid benadrukt noodzaak pentesting

Door: Michael Bijtenhoorn

Een recent ontdekte kwetsbaarheid in Microsoft Sharepoint Server, aangeduid als CVE-2024-38094, stelt kwaadwillenden in staat om via een Remote Code Execution (RCE)-aanval toegang te krijgen tot volledige bedrijfsnetwerken. Deze kwetsbaarheid werd eerder dit jaar geïdentificeerd en is inmiddels actief misbruikt, zoals blijkt uit onderzoek van Rapid7.

Aanvalspad en methodologie

De aanval begint met het compromitteren van een kwetsbare SharePoint Server, waarna een webshell wordt geïnstalleerd. Vervolgens verkrijgen de aanvallers toegang tot een Microsoft Exchange-account met domeinprivileges, wat hen bredere toegang verschaft binnen het netwerk. Om detectie te voorkomen, installeren zij Horoung Antivirus, wat conflicten veroorzaakt met bestaande beveiligingsmaatregelen, en deze uitschakelt.

De aanvallers maken gebruik van de Impacket-malware voor laterale bewegingen binnen het netwerk en implementeren een Python-batchscript om Horoung Antivirus te installeren, een aangepaste dienst op te zetten via een VBS-script 'HRSword.exe' uit te voeren. Deze acties leiden tot conflicten die legitieme antivirusdiensten doen crashen, waardoor de aanvallers ongestoord kunnen opereren.

Daarnaast worden tools zoals Mimikatz ingezet voor het verzamelen van inloggegevens en worden Windows Defender en systeemlogging uitgeschakeld om detectie te voorkomen. Er wordt ook gebruikgemaakt van tools zoals everything.exe, Certify.exe en kerbrute voor netwerkverkenning en brute-force-aanvallen op Active Directory-tickets.

Gevolgen en aanbevelingen

Hoewel de aanvallers back-ups van derden probeerden te vernietigen, slaagden zij hier niet in. Er is geen data-encryptie waargenomen, wat wijst op het ontbreken van een ramsomware-aanval. Het uiteindelijke doel van de aanval blijft onbekend.

Microsoft heeft in reeds juli een patch uitgebracht voor CVE-2024-38094. Gebruikers van Microsoft SharePoint Server wordt met klem aangeraden deze update zo snel mogelijk te installeren om misbruik van kwetsbaarheid te voorkomen.

Dit incident onderstreept het belang van regelmatige technische security audits om kwetsbaarheden tijdig te identificeren en te verhelpen. TT3P biedt gespecialiseerde technische security audits aan die verder gaan dan standaard pentests, met diepgaande analyses van IT-infrastructuren om potentiële beveiligingsrisico's op te sporen. Lees hier meer informatie over onze pentests en Technische Security Audits.

Over TT3P

The Trusted Third Party biedt praktisch advies voor cybersecurity en flexibele inzet van cybersecurityspecialisten. We helpen organisaties van elk type om het risico op gijzeling van bedrijfssystemen, datadiefstal en onbevoegde toegang te verkleinen en hun digitale weerbaarheid te vergroten. Neem contact op via info@tt3p.nl of 088 38 38 38 3.

Op de hoogte blijven van alle updates rondom cybersecurity? Volg dan onze LinkedIn-pagina