微软SharePoint RCE漏洞,安装火绒杀毒后导致安全防护崩溃
💡
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
微软SharePoint存在CVE-2024-38094远程代码执行漏洞,黑客可借此获取企业系统访问权限。微软已发布修复措施,建议用户尽快更新以防止损失。攻击者通过植入webshell和未授权杀毒软件,导致安全防护崩溃,进而进行横向移动和凭证收集。
🎯
关键要点
- 微软SharePoint存在CVE-2024-38094远程代码执行漏洞,CVSS评分为7.2。
- 该漏洞被黑客利用以获取企业系统的初始访问权限。
- 微软已发布修复措施,建议用户尽快更新以防止损失。
- 攻击者通过利用漏洞植入webshell,获取服务器访问权限。
- 攻击者入侵具有域管理员权限的微软Exchange服务账户,获得更高级别的访问权限。
- 安装未授权的杀毒软件导致微软安全防护体系崩溃。
- 攻击者利用Impacket工具进行横向移动,削弱安全防护效果。
- 使用Mimikatz进行凭证收集,FRP进行远程访问,并设置计划任务以实现持久性。
- 攻击者禁用Windows Defender,更改事件日志以避免检测。
- Rapid7未发现数据被加密的迹象,无法确定是否为勒索攻击。
- 微软建议未更新SharePoint的用户尽快完成漏洞修复。
🏷️
标签
➡️
