Các nhà nghiên cứu an ninh đã xác định hai lỗ hổng nghiêm trọng trong Microsoft SharePoint Server, dẫn đến sự phát triển của một công cụ khai thác cho phép thực hiện mã từ xa. Lỗ hổng đầu tiên, CVE-2023-29357 (CVSS 9.8), là một lỗi nâng cấp quyền trong SharePoint Server 2019. Microsoft đã phát hành một bản vá cho nó vào tháng Sáu. Lỗ hổng này cho phép kẻ xấu lướt qua cơ chế xác thực và đạt được quyền cao hơn mà không cần tương tác từ người dùng. Lỗ hổng thứ hai, CVE-2023-24955 (CVSS 7.3), liên quan đến việc thực hiện mã từ xa, ảnh hưởng đến SharePoint Server 2019, 2016, và SharePoint Server Subscription Edition. Microsoft đã giải quyết lỗi này vào tháng Năm.
Cả hai vấn đề đều được coi là nghiêm trọng, với hơn 100.000 máy chủ SharePoint truy cập được trên Internet có nguy cơ tiềm ẩn, theo nền tảng Censys. Các nhà nghiên cứu từ StarLabs đã công bố chi tiết về công cụ khai thác, cho thấy làm thế nào các khiếm khuyết được phát hiện có thể được sử dụng để thực hiện mã từ xa mà không cần xác thực. Công cụ khai thác có thể được thực hiện bằng cách tạo một token JWT giả mạo, sử dụng một thuật toán ký để tạo ra một định danh mô phỏng quyền quản trị viên. Thuật toán này cho phép sửa đổi token mà không bị phát hiện vì nó không đòi hỏi một chữ ký số. Một chìa khóa giả mạo cho phép khởi động phần mềm trên máy chủ sử dụng lỗ hổng CVE-2023-24955.
Valentin Lobshtein, một chuyên gia độc lập từ Oteria Cyber School, đã đăng một mã chứng minh khái niệm trên GitHub, minh họa việc khai thác CVE-2023-29357. Mã này cho thấy cách một người dùng xấu có thể giả vờ là một người dùng hợp lệ và đạt được quyền lợi cao hơn trên các hệ thống SharePoint chưa được vá. Trong một cuộc phỏng vấn với Dark Reading, Lobstein giải thích rằng những cuộc tấn công như vậy có thể dẫn đến hậu quả nghiêm trọng, từ việc mất mát dữ liệu mật tới Từ chối Dịch vụ (DoS). Anh cũng đề cập đến một công cụ khai thác khác được trình bày bởi đội ngũ Công ty Công nghệ Thông tin VNPT.
Mặc dù Microsoft chưa bình luận, nhưng công ty trước đó đã khuyến nghị bật tích hợp AMSI trên SharePoint và sử dụng Microsoft Defender như một biện pháp phòng ngừa chống lại CVE-2023-29357. SOCRadar nhấn mạnh tầm quan trọng cho các tổ chức sử dụng SharePoint Server, đặc biệt là phiên bản 2019, phải hành động càng sớm càng tốt. Rủi ro từ việc sử dụng công cụ khai thác bởi kẻ tấn công đã tăng đáng kể kể từ khi nó được công bố.
Source: Red Hot Cyber
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.