微软SharePoint 装置火绒杀毒后造成安保防护解体 RCE破绽

据媒体报道，微软SharePoint存在远程代码口头（RCE）破绽，破绽编号CVE-2024-38094（CVSS评分：7.2） ，并且正在被黑客应用，以此失掉对企业系统的初始访问权限。

微软SharePoint是一个盛行的单干平台，与微软365无缝集成 ，准许企业创立网站、治理文档、促成团队单干，并提供一系列工具来智能化业务流程，提供了细粒度的控制和复原配置，确保数据的安保性。企业可以经过活期备份来防止数据失落，并确保在出现配件缺点或其余异常事情时能够迅速复原数据。

2024年7月9日，微软星期二补丁月已发布该破绽修复措施，并将其标志为“关键”。10月底，CISA将CVE-2024-38094增加到已知被应用破绽目录中，但没有分享该破绽在攻打中是如何被应用的。

近日，安保公司Rapid7发布了一份安保报告，说明了攻打者是如何应用SharePoint破绽入侵企业，并取得系统访问权限。Rapid7示意，已确定初始访问向量是对本地SharePoint主机中破绽CVE 2024-38094的应用。

后来，攻打者应用CVE-2024-38094破绽地下披露的PoC取得了对主机的访问权限，并植入webshell。随后，该攻打者入侵了一个具备域治理员权限的微软Exchange服务账户，以此取得更初级别的访问权限。

接上去，攻打者在指标系统中装置了未授权的杀毒软件（例如火绒，海外未被系统环境信赖）。无心思的中央来了，因为该杀毒软件并没有被系统信赖，造成与微软安保防护体系形成抵触，最终结果是微软防护体系会因此解体。此时攻打者可以装置Impacket（红队人员内网横向经常使用频率最多的工具之一 ）启动横向移动。

此类攻打模式是应用未授权的杀毒软件和安保防护体系之间的抵触，从而造成资源调配和驱动程序加载不可顺利启动，最终成功安保防护成果被削弱，甚至是解体，让攻打者可以冷静启动后续攻打行为（例如横向移动）。

在接上去的阶段，攻打者经常使用Mimikatz启动凭证搜集，FRP启动远程访问，并设置方案义务以成功耐久性。为了防止检测，他们禁用了Windows Defender，更改了事情日志，并操纵了被斗争系统上的系统日志记载。

其余工具如everything.exe、Certify.exe和kerbrute被用于网络扫描、ADFS证书生成和暴力破解Active Directory票据。虽然试图擦除备份在敲诈软件攻打中很典型，但Rapid7并未发现数据被加码的迹象，因此不能去确定是敲诈攻打。

随着相似攻打行为的出现，微软倡导未更新SharePoint的用户尽快成功破绽修复，免得形成愈减轻大的损失。