"Khai thác CVE-2024-38094: Từ lỗ hổng Microsoft SharePoint đến nguy cơ an ninh hệ thống doanh nghiệp"

Khắc phục và khai thác lỗ hổng

Microsoft đã phát hành bản vá cho lỗ hổng này trong đợt cập nhật Patch Tuesday vào ngày 9 tháng 7 năm 2024. Tuy nhiên, sau khi công bố bản vá, một số báo cáo cho thấy tin tặc đã lợi dụng lỗ hổng CVE-2024-38094 để xâm nhập vào mạng công ty thông qua các máy chủ SharePoint triển khai tại chỗ (on-premise). Tin tặc đã cài đặt webshell trên máy chủ SharePoint bị xâm nhập, và hành vi bất thường chỉ được phát hiện sau đó khoảng hai tuần.

Phương pháp khai thác và leo thang đặc quyền

Khi xâm nhập thành công vào máy chủ SharePoint thông qua mã khai thác công khai của CVE-2024-38094, kẻ tấn công tiếp tục xâm nhập vào tài khoản dịch vụ Microsoft Exchange có quyền quản trị miền. Từ đó, tin tặc đã leo thang đặc quyền và có được quyền kiểm soát rộng rãi hơn trong hệ thống.

Cài đặt phần mềm giả mạo và vô hiệu hóa bảo mật

Để duy trì sự hiện diện trên hệ thống, kẻ tấn công đã cài đặt phần mềm Huorong Antivirus – một chương trình được sử dụng với mục đích ngụy trang, làm suy yếu các giải pháp bảo mật khác. Việc cài đặt được thực hiện thông qua một tập lệnh batch mang tên hrword install.bat, trong đó:

• Một dịch vụ tùy chỉnh (sysdiag) được thiết lập.
• Một driver (sysdiag_win10.sys) được nạp vào hệ thống.
• Chương trình HRSword.exe được chạy thông qua tập lệnh VBS.

Thiết lập này gây ra xung đột trong hệ thống, ảnh hưởng tới phân bổ tài nguyên, quá trình tải driver và hoạt động của các dịch vụ khác. Kết quả là các chương trình chống virus hợp pháp trên hệ thống bị sập, mở đường cho tin tặc hoạt động mà không bị phát hiện.

Kỹ thuật thu thập thông tin và duy trì sự hiện diện

Sau khi đã làm suy yếu bảo mật hệ thống, kẻ tấn công bắt đầu thu thập thông tin xác thực bằng cách sử dụng công cụ Mimikatz để lấy mật khẩu và thông tin đăng nhập. Ngoài ra, chúng còn cài đặt công cụ FRP để tạo kênh truy cập từ xa, cũng như thiết lập các tác vụ được lên lịch nhằm duy trì quyền kiểm soát lâu dài trên hệ thống.

Để tránh bị phát hiện, các biện pháp sau đã được áp dụng:

• Vô hiệu hóa Windows Defender.
• Thay đổi các bản ghi sự kiện, che giấu hoạt động thông qua thao tác ghi log.
• Sử dụng công cụ everything.exe để quét mạng, Certify.exe để tạo chứng chỉ giả trong Active Directory Federation Services (ADFS), và kerbrute để cố gắng bẻ khóa vé dịch vụ của Active Directory.

Loại bỏ sao lưu và ý đồ phá hủy dữ liệu

Trong quá trình xâm nhập, kẻ tấn công cũng cố gắng loại bỏ các bản sao lưu ngoài của hệ thống để giảm khả năng khôi phục dữ liệu. Tuy nhiên, âm mưu này không thành công như dự tính. Trong một số cuộc tấn công bằng ransomware, tin tặc thường xóa hoặc mã hóa các bản sao lưu để ngăn cản nạn nhân khôi phục hệ thống. Tuy nhiên, trong sự cố này, các chuyên gia chưa phát hiện ra dấu hiệu mã hóa dữ liệu, khiến mục tiêu thực sự của kẻ tấn công vẫn chưa rõ ràng.

Khuyến cáo cho các quản trị viên hệ thống

Do lỗ hổng CVE-2024-38094 vẫn đang được khai thác, các quản trị viên hệ thống cần kiểm tra và cập nhật SharePoint lên phiên bản mới nhất, đặc biệt là những hệ thống chưa được vá kể từ tháng 6 năm 2024. Việc này không chỉ bảo vệ hệ thống mà còn giảm thiểu nguy cơ bị khai thác thông qua các lỗ hổng đã biết.

Kết luận

Lỗ hổng CVE-2024-38094 trong Microsoft SharePoint đã tạo cơ hội cho tin tặc xâm nhập vào hệ thống nội bộ của các doanh nghiệp, gây ra nhiều rủi ro nghiêm trọng về bảo mật. Dù Microsoft đã phát hành bản vá từ tháng 7 năm 2024, việc chưa cập nhật kịp thời đã khiến nhiều hệ thống trở thành mục tiêu của các cuộc tấn công tinh vi, bao gồm việc leo thang đặc quyền, vô hiệu hóa các biện pháp bảo vệ, thu thập thông tin đăng nhập và cố gắng phá hủy các bản sao lưu. Để bảo vệ an toàn thông tin, các doanh nghiệp cần ưu tiên cập nhật và thực hiện các biện pháp bảo mật kịp thời cho hệ thống SharePoint của mình.