Критическая ошибка Microsoft SharePoint теперь активно эксплуатируется

CISA предупреждает, что злоумышленники используют критическую уязвимость Microsoft SharePoint, связанную с повышением привилегий, которая может быть связана с другой критической ошибкой для удаленного выполнения кода.

Критическая ошибка Microsoft SharePoint теперь активно эксплуатируется. Фото: СС0

Уязвимость безопасности CVE-2023-29357 позволяет злоумышленникам получать права администратора на неисправленных серверах, обходя аутентификацию с использованием поддельных токенов аутентификации JWT.

Из сообщения Microsoft:

«Злоумышленник, получивший доступ к поддельным токенам аутентификации JWT, может использовать их для выполнения сетевой атаки, которая обходит аутентификацию и позволяет получить доступ к привилегиям аутентифицированного пользователя. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить права администратора. Ему не нужны привилегии, а пользователю не нужно выполнять какие-либо действия.»

Хакеры также могут запустить произвольный код на скомпрометированных серверах SharePoint посредством внедрения команд, объединив эту уязвимость с уязвимостью удаленного выполнения кода SharePoint Server CVE-2023-24955 .

Эта цепочка эксплойтов для Microsoft SharePoint Server была успешно продемонстрирована исследователем STAR Labs Джангом (Нгуен Тьен Гианг).

25 сентября исследователь опубликовал технический анализ, подробно описывающий процесс эксплуатации.

Всего через день исследователь безопасности также опубликовал на GitHub эксплойт CVE-2023-29357 для проверки концепции .

Несмотря на то, что эксплойт не обеспечивает удаленное выполнение кода на целевых системах, поскольку он не является полный эксплойтом для цепочки, что злоумышленники сами могут связать его с ошибкой CVE-2023-24955 для RCE.

С тех пор в сети появились другие PoC-эксплойты для этой цепочки, которые снизили планку использования и позволили даже менее опытным злоумышленникам использовать его в атаках.

Хотя в CISA еще не предоставили дополнительную информацию об активной эксплуатации CVE-2023-29357, организация добавила уязвимость в свой Каталог известных эксплуатируемых уязвимостей и теперь требует от федеральных агентств США исправить ее до 31 января.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме