هشدار: آسیب‌پذیری اجرای کد از راه دور در شیرپوینت مایکروسافت

آسیب‌پذیری اجرای کد از راه دور (RCE) در شیرپوینت مایکروسافت با شناسه CVE-2024-38094 برای نفوذ به شبکه‌های سازمانی مورد سوءاستفاده قرار گرفته است. این آسیب‌پذیری با امتیاز ۷.۲ در مقیاس CVSS نسخه ۳.۱، پلتفرم همکاری تحت وب مایکروسافت را تحت تأثیر قرار داده است.

مایکروسافت در به‌روزرسانی امنیتی ماه جولای ۲۰۲۴ این آسیب‌پذیری را برطرف کرد، اما یافته‌های اخیر شرکت Rapid7 نشان می‌دهد که مهاجمان موفق به سوءاستفاده از این نقص شده‌اند. در یک مورد مستند، مهاجمان با استفاده از یک نمونه اثبات مفهوم عمومی، دسترسی غیرمجاز به سرور شیرپوینت پیدا کرده و از طریق نصب وب‌شل (webshell) دسترسی اولیه را برقرار کردند.

پیچیدگی حمله زمانی آشکار شد که مهاجمان یک حساب سرویس Exchange را با مجوزهای مدیر دامنه به خطر انداختند. آنها در یک اقدام تاکتیکی قابل توجه، آنتی‌ویروس Horoung را نصب کردند که عمداً با اقدامات امنیتی موجود تداخل ایجاد می‌کرد. مهاجمان از ابزارهای مختلفی از جمله Mimikatz برای جمع‌آوری اعتبارنامه‌ها و FRP برای دسترسی از راه دور استفاده کرده و از طریق وظایف زمان‌بندی شده، ماندگاری خود را تضمین کردند.

سازمان CISA این آسیب‌پذیری را به فهرست آسیب‌پذیری‌های شناخته شده خود اضافه کرده و بر نیاز فوری سازمان‌ها به اعمال به‌روزرسانی‌های شیرپوینت از ژوئن ۲۰۲۴ به بعد تأکید کرده است.

اگر به خواندن کامل این مطلب علاقه‌مندید، روی لینک مقابل کلیک کنید: bleepingcomputer