Эксперты по безопасности обнаружили две критические уязвимости в сервере Microsoft SharePoint, что привело к созданию эксплойта, позволяющего удаленное выполнение кода. Первая уязвимость, CVE-2023-29357 (CVSS 9.8), связана с повышением привилегий в SharePoint Server 2019. Microsoft выпустила для неё патч в июне. Этот недостаток позволяет злоумышленникам обходить механизмы аутентификации и получать повышенные привилегии без взаимодействия с пользователем. Вторая, CVE-2023-24955 (CVSS 7.3), относится к удаленному выполнению кода, затрагивает SharePoint Server 2019, 2016 и SharePoint Server Subscription Edition. Microsoft устранила этот баг в мае.
Обе проблемы считаются критическими, более 100 000 серверов SharePoint, доступных в Интернете, потенциально подвергаются риску, согласно платформе Censys. Исследователи из StarLabs опубликовали детали эксплойта, показывая, как обнаруженные дефекты могут быть использованы для удаленного выполнения кода без аутентификации. Эксплойт может быть выполнен путем создания ложного токена JWT, используя алгоритм подписи для генерации идентификатора, который имитирует права администратора. Этот алгоритм позволяет изменять токен без обнаружения, так как не требует цифровой подписи. Ложный ключ позволяет начать работу программного обеспечения на сервере с использованием уязвимости CVE-2023-24955.
Валентин Лобштейн, независимый специалист из Oteria Cyber School, разместил код доказательства концепции на GitHub, демонстрируя эксплуатацию CVE-2023-29357. Этот код показывает, как злоумышленник может притворяться законным пользователем и получать повышенные привилегии на необновленных системах SharePoint. В интервью Dark Reading Лобштейн объяснил, что такие атаки могут привести к серьезным последствиям, от потери конфиденциальных данных до отказа в обслуживании (DoS). Он также упомянул другой эксплойт, представленный командой VNPT Information Technology Company.
Хотя Microsoft пока не комментировала ситуацию, компания ранее советовала включать интеграцию AMSI на SharePoint и использовать Microsoft Defender в качестве меры предосторожности против CVE-2023-29357. SOCRadar подчеркнул важность для организаций, использующих SharePoint Server, особенно версию 2019, действовать как можно скорее. Риски от использования эксплойта атакующими значительно возросли с момента его публикации.
Source: Red Hot Cyber
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.