CISA предупреждава, че нападателите вече използват критична уязвимост за увеличаване на привилегиите в Microsoft SharePoint, която може да бъде свързана с друга критична грешка за изпълнение на отдалечен код.
Проследен като CVE-2023-29357, недостатъкът в сигурността позволява на отдалечени нападатели да получат администраторски привилегии на непоправени сървъри чрез заобикаляне на удостоверяването с помощта на подправени JWT auth tokens.
„Нападател, който е получил достъп до подправени JWT удостоверителни токени, може да ги използва, за да изпълни мрежова атака, която заобикаля удостоверяването и му позволява да получи достъп до привилегиите на удостоверен потребител“, обяснява Microsoft.
„Нападател, който успешно се възползва от тази уязвимост, може да получи администраторски привилегии. Атакуващият не се нуждае от привилегии, нито пък потребителят трябва да извърши някакво действие.“
Отдалечените нападатели могат също така да изпълнят произволен код на компрометирани SharePoint сървъри чрез инжектиране на команда, когато верижно свързват този недостатък с уязвимостта CVE-2023-24955 SharePoint Server за отдалечено изпълнение на код.
Тази верига от експлойти за Microsoft SharePoint Server беше успешно демонстрирана от изследователя на STAR Labs Jang (Nguyễn Tiến Giang) по време на миналогодишното състезание Pwn2Own, което се проведе през март 2023 г. във Ванкувър, като спечели награда от 100 000 USD.
На 25 септември изследователят публикува технически анализ, в който подробно описва процеса на експлоатация.
Само един ден по-късно изследователят по сигурността публикува и доказателство за концептуален експлойт на CVE-2023-29357 в GitHub.
Въпреки че експлойтът не предоставя възможност за отдалечено изпълнение на код на целевите системи, тъй като не е пълен експлойт за веригата, демонстрирана на Pwn2Own, авторът му заяви, че атакуващите могат сами да го свържат с грешката CVE-2023-24955 за RCE.
„Скриптът извежда данни за администраторски потребители с повишени привилегии и може да работи както в режим на единична, така и в режим на масова експлоатация“, казва разработчикът на PoC експлойта.
„Въпреки това, за да се запази етичната позиция, този скрипт не съдържа функционалности за извършване на RCE и е предназначен единствено за образователни цели и законно и оторизирано тестване.“
Оттогава насам в интернет се появиха други PoC експлойти за тази верига, което понижи летвата за експлоатация и позволи дори на по-малко квалифицирани хакери да я използват в атаки.
Въпреки че все още не е предоставила допълнителни подробности за активната експлоатация на CVE-2023-29357, CISA добави уязвимостта в своя каталог на известните експлоатирани уязвимости и сега изисква от федералните агенции на САЩ да я закърпят до края на месеца, на 31 януари.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.