CISA: Критичен бъг в Microsoft SharePoint вече се експлоатира активно

CISA: Критичен бъг в Microsoft SharePoint вече се експлоатира активно

CISA предупреждава, че нападателите вече използват критична уязвимост за увеличаване на привилегиите в Microsoft SharePoint, която може да бъде свързана с друга критична грешка за изпълнение на отдалечен код.

Проследен като CVE-2023-29357, недостатъкът в сигурността позволява на отдалечени нападатели да получат администраторски привилегии на непоправени сървъри чрез заобикаляне на удостоверяването с помощта на подправени JWT auth tokens.

„Нападател, който е получил достъп до подправени JWT удостоверителни токени, може да ги използва, за да изпълни мрежова атака, която заобикаля удостоверяването и му позволява да получи достъп до привилегиите на удостоверен потребител“, обяснява Microsoft.

„Нападател, който успешно се възползва от тази уязвимост, може да получи администраторски привилегии. Атакуващият не се нуждае от привилегии, нито пък потребителят трябва да извърши някакво действие.“

Отдалечените нападатели могат също така да изпълнят произволен код на компрометирани SharePoint сървъри чрез инжектиране на команда, когато верижно свързват този недостатък с уязвимостта CVE-2023-24955 SharePoint Server за отдалечено изпълнение на код.

Тази верига от експлойти за Microsoft SharePoint Server беше успешно демонстрирана от изследователя на STAR Labs Jang (Nguyễn Tiến Giang) по време на миналогодишното състезание Pwn2Own, което се проведе през март 2023 г. във Ванкувър, като спечели награда от 100 000 USD.

На 25 септември изследователят публикува технически анализ, в който подробно описва процеса на експлоатация.

Само един ден по-късно изследователят по сигурността публикува и доказателство за концептуален експлойт на CVE-2023-29357 в GitHub.

Въпреки че експлойтът не предоставя възможност за отдалечено изпълнение на код на целевите системи, тъй като не е пълен експлойт за веригата, демонстрирана на Pwn2Own, авторът му заяви, че атакуващите могат сами да го свържат с грешката CVE-2023-24955 за RCE.

„Скриптът извежда данни за администраторски потребители с повишени привилегии и може да работи както в режим на единична, така и в режим на масова експлоатация“, казва разработчикът на PoC експлойта.

„Въпреки това, за да се запази етичната позиция, този скрипт не съдържа функционалности за извършване на RCE и е предназначен единствено за образователни цели и законно и оторизирано тестване.“

Оттогава насам в интернет се появиха други PoC експлойти за тази верига, което понижи летвата за експлоатация и позволи дори на по-малко квалифицирани хакери да я използват в атаки.

Въпреки че все още не е предоставила допълнителни подробности за активната експлоатация на CVE-2023-29357, CISA добави уязвимостта в своя каталог на известните експлоатирани уязвимости и сега изисква от федералните агенции на САЩ да я закърпят до края на месеца, на 31 януари.

 

Източник: e-security.bg

Сподели в:

Категории:

Следвай ни в: