Патчи давно выпущены, но могут ли эксплойты «разбудить зверя»?
Исследователи выявили две критические уязвимости в Microsoft SharePoint Server и разработали эксплойт, позволяющий выполнить код на затронутых серверах удаленно.
CVE-2023-29357 (CVSS 9.8.) — это уязвимость повышения привилегий в SharePoint Server 2019. Для её устранения Microsoft выпустила патч в июне. Дефект позволяет атакующему обойти механизмы аутентификации и получить расширенные права без взаимодействия с пользователем.
CVE-2023-24955 (CVSS 7.3.) относится к удаленному выполнению кода. Ее Microsoft устранила еще в мае. Уязвимость затрагивает SharePoint Server 2019, 2016 и SharePoint Server Subscription Edition.
Обе проблемы признаны критическими. Согласно данным платформы Censys, более 100 000 серверов SharePoint, доступных в интернете, потенциально подвержены риску.
Исследователи из StarLabs опубликовали детали эксплойта, продемонстрировав, как именно обнаруженные дефекты можно применить для удаленного выполнения кода без предварительной аутентификации.
Начали с создания поддельного JWT-токена. С помощью алгоритма подписи «None» удалось сгенерировать идентификатор, который имитирует права администратора. Важно отметить, что этот алгоритм позволяет изменять токен без обнаружения, так как он не требует цифровой подписи. Поддельный ключ позволил запустить ПО на сервере с помощью уязвимости CVE-2023-24955.
Валентин Лобштейн, независимый специалист из Oteria Cyber School, опубликовал на GitHub код для доказательства концепции (proof-of-concept), демонстрирующий эксплуатацию CVE-2023-29357. Этот код показывает, как злоумышленник может притвориться легальным пользователем и получить расширенные права на необновленных системах SharePoint.
В интервью изданию Dark Reading Лобштейн пояснил, что такие атаки могут привести к серьезным последствиям: от утраты конфиденциальных данных до отказа в обслуживании (DoS).
Он также упомянул другой эксплойт, представленный командой VNPT Information Technology Company.
Microsoft пока не дает комментариев. Однако ранее компания рекомендовала активировать функцию интеграции AMSI на SharePoint и использовать Microsoft Defender как меру предосторожности против CVE-2023-29357.
Компания SOCRadar отметила в своем блоге: «Организациям, использующим SharePoint Server, в частности версию 2019, важно принять меры как можно скорее. С момента публикации эксплойта риски его использования злоумышленниками значительно возросли».
5778 К? Пф! У нас градус знаний зашкаливает!