Els experts en seguretat han detectat dues vulnerabilitats crítiques al Microsoft SharePoint Server, que han portat al desenvolupament d’un exploit que permet l’execució remota de codi. La primera vulnerabilitat, CVE-2023-29357 (CVSS 9.8), és una fallada que permet l’escalada de privilegis al SharePoint Server 2019. Microsoft va publicar un pegat per aquesta vulnerabilitat al juny. Aquesta fallada permet als actors maliciosos eludir els mecanismes d’autenticació i guanyar privilegis elevats sense la interacció de l’usuari. La segona, CVE-2023-24955 (CVSS 7.3), està relacionada amb l’execució remota de codi, afectant al SharePoint Server 2019, 2016, i SharePoint Server Subscription Edition. Microsoft va resoldre aquest error al maig.
Ambdós problemes es consideren crítics, amb més de 100,000 servidors SharePoint accessibles a Internet potencialment en risc, segons la plataforma Censys. Investigadors de StarLabs han publicat detalls de l’exploit, mostrant com els defectes descoberts poden ser utilitzats per a l’execució remota de codi sense autenticació. L’exploit pot ser executat creant un fals token JWT, utilitzant un algoritme de signatura per generar un identificador que simula drets d’administrador. Aquest algoritme permet la modificació del token sense detecció ja que no requereix una signatura digital. Una clau falsa habilita la iniciació de programari al servidor usant la vulnerabilitat CVE-2023-24955.
Valentin Lobshtein, un especialista independent de l’Oteria Cyber School, ha publicat un codi de prova de concepte a GitHub que demostra l’explotació de CVE-2023-29357. Aquest codi mostra com un usuari maliciós pot fingir ser un usuari legítim i obtenir privilegis elevats en sistemes SharePoint no actualitzats. En una entrevista amb Dark Reading, Lobstein va explicar que tals atacs podrien portar a conseqüències greus, des de la pèrdua de dades confidencials fins a la denegació de servei (DoS). També va esmentar un altre exploit presentat pel equip de VNPT Information Technology Company.
Encara que Microsoft encara no ha fet comentaris, la companyia anteriorment va aconsellar habilitar la integració AMSI a SharePoint i usar Microsoft Defender com a precaució contra CVE-2023-29357. SOCRadar va destacar la importància per a les organitzacions que utilitzen SharePoint Server, especialment la versió 2019, d’actuar el més aviat possible. Els riscos de l’ús de l’exploit per atacants han augmentat significativament des de la seva publicació.
Source: Red Hot Cyber
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.