พบการโจมตีช่องโหว่ RCE บน Microsoft SharePoint เพื่อบุกรุกเครือข่ายองค์กร

Rapid7 เปิดเผยรายละเอียดการโจมตีผ่านช่องโหว่ RCE บน Microsoft SharePoint ที่ได้รับการแพตช์ไปแล้วในเดือนกรกฎาคม โดยผู้โจมตีใช้เป็นจุดเริ่มต้นในการบุกรุกเครือข่ายองค์กร

ช่องโหว่ CVE-2024-38094 มีความรุนแรงระดับ High (CVSS v3.1: 7.2) ส่งผลกระทบต่อ Microsoft SharePoint ซึ่งเป็นแพลตฟอร์มที่องค์กรใช้เป็นระบบ Intranet, จัดการเอกสาร, และทำงานร่วมกัน โดย Microsoft ได้แก้ไขช่องโหว่นี้ในการอัปเดต Patch Tuesday เดือนกรกฎาคม 2024

จากรายงานของ Rapid7 พบว่าผู้โจมตีใช้ช่องโหว่นี้ในการฝัง Webshell บนเซิร์ฟเวอร์ SharePoint ที่มีช่องโหว่ จากนั้นยกระดับสิทธิ์ผ่านบัญชี Microsoft Exchange เพื่อให้ได้สิทธิ์ผู้ดูแลระบบ ผู้โจมตียังติดตั้ง Horoung Antivirus เพื่อทำให้เกิดความขัดแย้งและปิดการทำงานของระบบรักษาความปลอดภัยบนอุปกรณ์ พร้อมใช้เครื่องมือต่างๆ เช่น Mimikatz และ FRP ในการกระจายตัวภายในเครือข่าย โดยสามารถหลบการตรวจจับได้นานถึง 2 สัปดาห์

ผู้ดูแลระบบที่ยังไม่ได้ติดตั้งอัปเดต SharePoint ตั้งแต่เดือนมิถุนายน 2024 ควรรีบดำเนินการโดยด่วน เนื่องจากมีการใช้งานช่องโหว่นี้ในการโจมตีจริงแล้ว

ที่มา: https://www.bleepingcomputer.com/news/security/microsoft-sharepoint-rce-bug-exploited-to-breach-corporate-network/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้