E安全消息，最新披露微软SharePoint远程代码执行（RCE）漏洞：CVE-2024-38094，被利用于企业网络初始访问。

　　CVE-2024-38094是一个高严重性（CVSS v3.1得分：7.2）的RCE漏洞，影响微软SharePoint，这个Web平台被广泛使用，作为内部网、文档管理和协作工具，可以与Microsoft 365应用程序无缝集成。

　　微软在2024年7月9日修复了这个漏洞，作为7月补丁星期二包的一部分，将这个问题标记为“重要”。

　　上周，CISA将CVE-2024-38094添加到已知被利用漏洞目录中，但没有分享这个漏洞是如何在攻击中被利用的。

　　本周，网络安全公司Rapid7新报告揭示了攻击者如何利用SharePoint漏洞，这个漏洞被用于他们被邀请调查的一起网络入侵事件中VPN win7 全局 代理。

　　“我们的调查发现一个未经授权攻击者访问服务器，并在网络中横向移动，破坏了整个域。”相关报告写道。

　　“攻击者在两周内未被发现。Rapid7确定初始访问媒介是利用本地SharePoint服务器中的漏洞CVE 2024-38094。”

　　Rapid7报告称，攻击者使用CVE-2024-38094未经授权访问易受攻击的SharePoint服务器并植入webshell。调查显示，服务器是使用公开披露的SharePoint概念验证漏洞利用来攻击服务器。

　　利用他们的初始访问，攻击者入侵了具有域管理员权限的Microsoft Exchange服务账户，获得了提升的访问权限。

　　接下来，攻击者安装了Horoung Antivirus，这造成了冲突，禁用了安全防御并损害了检测，使他们能够安装Impacket进行横向移动。

　　这种设置导致资源分配、加载的驱动程序和活跃服务发生多重冲突，导致公司的合法反病毒服务崩溃，变得无能为力。

　　接下来，攻击者使用Mimikatz进行凭证收集，FRP用于远程访问，并设置了计划任务以保持持续性。

　　为避免被发现，他们禁用了Windows Defender，更改了事件日志，并在受感染的系统上操纵了系统日志记录。

　　尽管在勒索软件攻击中，尝试擦除备份文件是一种常见的行为，目的是为了防止受害者轻松恢复数据。但在这次事件中，Rapid7并没有观察到数据被加密，因此攻击类型尚不清楚。

　　由于漏洞正在积极被利用，自2024年6月以来还没有应用SharePoint更新的系统管理员必须尽快进行更新。