Выпущен эксплойт для обхода аутентификации Microsoft SharePoint Server

На GitHub появился код для проверки концепции критической уязвимости обхода аутентификации в Microsoft SharePoint Server, позволяющей повысить привилегии.

Выпущен эксплойт для обхода аутентификации Microsoft SharePoint Server. Фото: СС0

Уязвимость безопасности CVE-2023-29357 может позволить неаутентифицированным злоумышленникам получить права администратора после успешной эксплуатации в атаках низкой сложности, не требующих взаимодействия с пользователем.

Из сообщения Microsoft:

«Злоумышленник, получивший доступ к поддельным токенам аутентификации JWT, может использовать их для выполнения сетевой атаки, которая обходит аутентификацию и позволяет получить доступ к привилегиям аутентифицированного пользователя. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить права администратора. Злоумышленнику не нужны привилегии, а пользователю не нужно выполнять какие-либо действия.»

25 сентября исследователь STAR Labs Нгуен Тьен Джианг ( Janggggg ) опубликовал технический анализ, описывающий процесс эксплуатации цепочки уязвимостей.

К ним относятся ошибка CVE-2023-29357 и второй критический недостаток, обозначенный как CVE-2023–24955. Он облегчает удаленное выполнение кода посредством внедрения команд.

Исследователь под псевдонимом Janggggg успешно получил RCE на Microsoft SharePoint Server, используя эту цепочку эксплойтов во время конкурса Pwn2Own в марте 2023 года в Ванкувере, получив награду в размере 100 тыс. $.

На следующий день после того, как технический анализ был обнародован, на GitHub появился экспериментальный эксплойт для уязвимости повышения привилегий CVE-2023-29357.

Хотя этот эксплойт не дает злоумышленникам удаленного выполнения кода, поскольку он не охватывает всю цепочку эксплойтов, продемонстрированную на Pwn2Own в Ванкувере, автор уточняет, что злоумышленники потенциально могут объединить его с ошибкой внедрения команд CVE-2023-24955 для достижения этой цели.

Из сообщения исследователя безопасности:

«Скрипт выводит информацию об администраторах с повышенными привилегиями и может работать как в режиме одиночного, так и в массовом режиме эксплойта. Однако в целях соблюдения этической позиции этот сценарий не содержит функций для выполнения RCE и предназначен исключительно для образовательных целей, а также для законного и авторизованного тестирования.»

Также доступно правило YARA, которое поможет сетевым защитникам анализировать журналы на наличие признаков потенциальной эксплуатации на их серверах SharePoint с использованием PoC-эксплойта CVE-2023-29357.

Несмотря на то, что существующий эксплойт не предоставляет возможности немедленного удаленного выполнения кода, настоятельно рекомендуется применять исправления безопасности, выпущенные Microsoft ранее в этом году, в качестве превентивной меры против потенциальных атак. Вероятно, злоумышленники или другие исследователи безопасности воспроизведут полную цепочку эксплойтов для обеспечения полного удаленного выполнения кода очень скоро.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме