Um relatório recente da equipe de Resposta a Incidentes da Rapid7 revelou um comprometimento grave de um servidor Microsoft SharePoint, que permitiu aos atacantes obter controle total do domínio e comprometer sistemas críticos através de uma combinação sofisticada de técnicas. A vulnerabilidade, identificada como CVE-2024-38094, destacou a urgência em detectar e responder rapidamente a falhas em servidores SharePoint on-premises.

A investigação começou quando a Rapid7 detectou atividades suspeitas associadas a uma conta de serviço do Microsoft Exchange com privilégios de administrador de domínio. A equipe identificou que a vulnerabilidade CVE-2024-38094 permitiu a execução de código remoto, oferecendo aos atacantes o acesso inicial necessário para movimentação lateral na rede de forma indetectável por duas semanas. Durante o ataque, os invasores usaram a conta comprometida para instalar o Horoung Antivirus (AV), um produto chinês que interferiu nos sistemas de segurança, causando falhas nas soluções de segurança em execução e permitindo atividades maliciosas sem restrições. Essa tática, conhecida como Impairing Defenses (T1562), permitiu que os atacantes desativassem produtos de segurança, facilitando o uso de ferramentas como o Impacket para movimento lateral.

A partir do servidor SharePoint comprometido, os invasores implantaram o Mimikatz para extração de credenciais e desativaram registros de sistema, dificultando a detecção. Para manter o acesso, foi instalada uma webshell chamada ghostfile93.aspx, que gerava várias requisições HTTP POST de um IP externo, garantindo persistência e possibilitando a execução de comandos remotos. A exploração da CVE-2024-38094 serve como alerta para empresas que utilizam servidores SharePoint, enfatizando a importância da vigilância e da atualização imediata dos sistemas para evitar comprometimentos similares.