Microsoft SharePoint’te tespit edilen ve CVE-2024-38094 koduyla izlenen bir uzaktan kod yürütme (RCE) açığı, şirket ağlarına erişim sağlamak için saldırganlar tarafından istismar ediliyor.
Microsoft, bu güvenlik açığını 9 Temmuz 2024’te yayımladığı Temmuz Yaması kapsamında “önemli” olarak işaretleyerek kapattı. Ancak, geçtiğimiz hafta ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bu açığı “Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu”na ekledi, fakat saldırı yöntemleri hakkında ayrıntı paylaşmadı.
Rapid7’nin Araştırması ve İstismar Yöntemi
Rapid7’nin yayımladığı yeni rapora göre, saldırganlar CVE-2024-38094 zafiyetini kullanarak izinsiz olarak bir SharePoint sunucusuna erişim sağladı ve ağda yatay hareket ederek tüm alanı ele geçirdi. Raporda, saldırganların, SharePoint’teki kamuya açık bir proof-of-concept istismar kodunu kullanarak, zafiyeti başarılı bir şekilde sömürdüğü belirtiliyor.
Saldırganlar, başlangıç erişimini kullanarak bir Microsoft Exchange hizmet hesabını ele geçirdi ve bu hesap üzerinden yönetici yetkileriyle sistemde daha fazla yetki sağladı. Sonrasında, güvenlik önlemlerini etkisiz hale getirmek amacıyla Horoung Antivirus adlı bir yazılım kurdular ve bu durum, mevcut güvenlik çözümlerinin çökmesine sebep oldu.
Saldırı Aşamaları
Saldırganlar, sistemde kalıcılık sağlamak için Windows Defender’ı devre dışı bıraktı, olay kayıtlarını değiştirdi ve sistem günlüklerini manipüle etti. Kimlik bilgisi elde etmek için Mimikatz kullandılar, uzak erişim sağlamak amacıyla FRP yüklediler ve planlanmış görevler kurarak kalıcılık sağladılar. Ayrıca, ağ taraması ve Active Directory için brute-force saldırıları yapmak amacıyla everything.exe, Certify.exe, ve kerbrute gibi ek araçlar kullandılar.
Yöneticilere Uyarı
Bu saldırı, SharePoint zafiyetlerinin ne kadar ciddi sonuçlar doğurabileceğini bir kez daha gözler önüne serdi. Rapid7, sistem yöneticilerine Haziran 2024’ten itibaren yayımlanan SharePoint güncellemelerinin henüz uygulanmadıysa derhal güncelleme yapmaları gerektiği uyarısında bulunuyor.
