Expertos en seguridad han identificado dos vulnerabilidades críticas en Microsoft SharePoint Server, que han llevado al desarrollo de un exploit que permite la ejecución remota de código. La primera vulnerabilidad, conocida como CVE-2023-29357 (CVSS 9.8), es un fallo que permite la escalada de privilegios en SharePoint Server 2019. Microsoft lanzó un parche para esta falla en junio. Este error permite a los actores maliciosos eludir los mecanismos de autenticación y obtener privilegios elevados sin interacción del usuario. La segunda, CVE-2023-24955 (CVSS 7.3), está relacionada con la ejecución remota de código, afectando a SharePoint Server 2019, 2016 y SharePoint Server Subscription Edition. Microsoft resolvió este bug en mayo.
Ambos problemas se consideran críticos, con más de 100,000 servidores SharePoint accesibles en Internet que potencialmente están en riesgo, según la plataforma Censys. Investigadores de StarLabs han publicado detalles del exploit, mostrando cómo los defectos descubiertos pueden ser utilizados para la ejecución remota de código sin autenticación. El exploit puede ser ejecutado creando un falso token JWT, utilizando un algoritmo de firma para generar un identificador que simula derechos de administrador. Este algoritmo permite la modificación del token sin detección ya que no requiere una firma digital. Una clave falsa habilita la iniciación de software en el servidor usando la vulnerabilidad CVE-2023-24955.
Valentin Lobshtein, un especialista independiente de Oteria Cyber School, ha publicado un código de prueba de concepto en GitHub que demuestra la explotación de CVE-2023-29357. Este código muestra cómo un usuario malicioso puede hacerse pasar por un usuario legítimo y obtener privilegios elevados en sistemas SharePoint no parcheados. En una entrevista con Dark Reading, Lobstein explicó que tales ataques podrían llevar a consecuencias graves, desde la pérdida de datos confidenciales hasta la negación de servicio (DoS). También mencionó otro exploit presentado por el equipo de VNPT Information Technology Company.
Aunque Microsoft aún no ha comentado, la compañía previamente aconsejó habilitar la integración AMSI en SharePoint y usar Microsoft Defender como precaución contra CVE-2023-29357. SOCRadar enfatizó la importancia para las organizaciones que usan SharePoint Server, especialmente la versión 2019, de actuar lo antes posible. Los riesgos del uso del exploit por atacantes han aumentado significativamente desde su publicación.
Source: Red Hot Cyber
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.