TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

トップ > ツール: Mimikatz > Microsoft SharePoint RCE bug exploited to breach corporate network

Microsoft SharePoint RCE bug exploited to breach corporate network

ツール: Mimikatz ツール: FRP マルウェア種別: WebShell ウイルス対策ソフト: Huorong Antivirus ツール: Windows Defender 偽装手法: 検知回避 検知回避 検知回避: ログ改ざん Framework: Impacket ツール: everything.exe ツール: Certify.exe ツール: kerbrute

【訳】

Microsoft SharePoint RCE バグが悪用され、企業ネットワークに侵入される


【図表】


攻撃のタイムライン (Rapid7)
出典: https://www.bleepingcomputer.com/news/security/microsoft-sharepoint-rce-bug-exploited-to-breach-corporate-network/


【要約】

Microsoft SharePointのリモートコード実行(RCE)脆弱性(CVE-2024-38094)が悪用され、攻撃者が企業ネットワークへの初期アクセスを得て侵害を拡大しています。Rapid7の調査では、この脆弱性を通じてSharePointサーバーに不正アクセスし、ウェブシェルの設置や権限昇格を行った事例が確認されました。攻撃者はHuorong Antivirusを利用してセキュリティ防御を無効化し、Mimikatzで認証情報を収集し、システムの持続的なアクセスを確保。検知を回避するためにWindows Defenderを無効化し、ログを改ざんしました。SharePointの未更新システムに対するリスクが続いており、管理者に迅速なパッチ適用が推奨されています。


【概要】

項目
内容
CVE番号 CVE-2024-38094
CVSS v3.1 7.2
KEV 登録
攻撃方法 WebShell埋め込み
使用PoC MS-SharePoint-July-Patch-RCE-PoC
https://github.com/testanull/MS-SharePoint-July-Patch-RCE-PoC/tree/main
検出回避手法 Windows Defender を無効化(Huorong Antivirusをインストール)
イベント ログを変更


【ニュース】

◆Microsoft SharePoint RCE bug exploited to breach corporate network (BleepingComputer, 2024/11/02)
[Microsoft SharePoint RCE バグが悪用され、企業ネットワークに侵入される]
https://www.bleepingcomputer.com/news/security/microsoft-sharepoint-rce-bug-exploited-to-breach-corporate-network/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023