Rapid7はこのほど、「Investigating a SharePoint Compromise: IR Tales from the Field|Rapid7 Blog」において、Microsoft SharePointサーバの脆弱性「CVE-2024-38094」を悪用したサイバー攻撃の分析結果を公開した。

この脆弱性の深刻度は重要(Important)と評価されており、Microsoftは2024年7月の更新プログラムにて修正している(参考:「Microsoft Office の 2024 年 7 月の更新プログラム - Microsoft サポート」)。

  • Investigating a SharePoint Compromise: IR Tales from the Field|Rapid7 Blog

    Investigating a SharePoint Compromise: IR Tales from the Field|Rapid7 Blog

脆弱性「CVE-2024-38094」の概要

脆弱性「CVE-2024-38094」は、Microsoft SharePointに存在したリモートコード実行(RCE: Remote Code Execution)の脆弱性。すでに概念実証(PoC: Proof of Concept)コードが公開されており、Rapid7が確認した事案においても同様の手段を使用してWebシェルが展開されたという(参考:「GitHub - testanull/MS-SharePoint-July-Patch-RCE-PoC」)。

侵害手順

脆弱性を悪用してWebシェルを展開した攻撃者は、ローカル管理者アカウントとしてサーバに侵入。エクスプロイトツールの「Mimikatz」などを用いて認証情報を窃取し、サードパーティーのバックアップシステムの破壊を試みたとされる。

その後、窃取した認証情報を用いてSSHなどによる不正アクセスを試行。最後に横方向の移動などに使用できるセキュリティツール「Impacket」をインストールしたが、このインストールはセキュリティソリューションによりブロックされている。

攻撃者はセキュリティソリューションの存在を確認すると、なぜかアンチウイルスソフトウェアの「Huorong AntiVirus」をインストールしたという。一見するとセキュリティが向上するように思えるが、2種類のセキュリティソリューション間で競合状態が発生し、セキュリティを無力化できたとみられる。

  • 攻撃のタイムライン - 引用:Rapid7

    攻撃のタイムライン  引用:Rapid7

対策

この脆弱性はMicrosoftから更新プログラムが公開されている。更新プログラムを適用していない管理者には、影響を確認して速やかに更新することが推奨されている。また、Rapid7は調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。