Esperti nel campo della sicurezza informatica hanno scoperto due gravi vulnerabilità presenti nel Microsoft SharePoint Server, che hanno portato alla creazione di un exploit in grado di consentire l’esecuzione di codice a distanza. La prima falla, contrassegnata come CVE-2023-29357 (CVSS 9.8), consiste in un bug che permette l’escalation di privilegi nel SharePoint Server 2019. Microsoft ha diffuso una correzione per questa vulnerabilità a giugno. Questo bug rende possibile per soggetti malevoli aggirare i sistemi di autenticazione ed acquisire elevati privilegi senza alcuna interazione da parte dell’utente. La seconda falla, nota come CVE-2023-24955 (CVSS 7.3), è collegata all’esecuzione di codice a distanza e colpisce SharePoint Server nelle versioni 2019, 2016 e SharePoint Server Subscription Edition. Microsoft ha sistemato questo problema a maggio.
Entrambe le vulnerabilità sono giudicate di notevole gravità, con oltre 100.000 server SharePoint accessibili online che potrebbero essere a rischio, come riportato dalla piattaforma Censys. Gli esperti di StarLabs hanno reso pubblici i dettagli relativi all’exploit, evidenziando come i difetti rinvenuti possano essere sfruttati per eseguire codice a distanza senza bisogno di autenticazione. L’exploit può essere messo in atto generando un falso token JWT, utilizzando un algoritmo di firma per creare un identificativo che emula i diritti di amministratore. Questo procedimento consente di modificare il token in modo invisibile, non necessitando di una firma digitale. Una chiave fasulla permette l’attivazione del software sul server sfruttando la vulnerabilità CVE-2023-24955.
Valentin Lobshtein, un esperto indipendente della Oteria Cyber School, ha condiviso su GitHub un codice di concetto che dimostra l’utilizzo di CVE-2023-29357. Questo codice illustra come un utente malintenzionato possa impersonare un utente autentico ed acquisire elevati privilegi su sistemi SharePoint non aggiornati. In un colloquio con Dark Reading, Lobstein ha illustrato come tali attacchi possano avere come esito delle gravissime ripercussioni, dalla perdita di dati riservati fino al Denial of Service (DoS). Ha inoltre fatto riferimento ad un ulteriore exploit, proposto dal team della VNPT Information Technology Company.
Nonostante Microsoft non abbia rilasciato dichiarazioni al riguardo, la compagnia in precedenza ha suggerito di attivare l’integrazione AMSI su SharePoint e di adottare Microsoft Defender come misura precauzionale contro la CVE-2023-29357. SOCRadar ha ribadito l’urgenza, per le organizzazioni che fanno uso di SharePoint Server, specialmente nella versione 2019, di intervenire tempestivamente. I rischi legati all’uso dell’exploit da parte di malintenzionati sono notevolmente cresciuti da quando è stato reso pubblico.
Source: Red Hot Cyber
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.