Υπάρχουν 100.000 διακομιστές ευάλωτοι στην εκμετάλλευση του Microsoft Sharepoint RCE που κυκλοφορούν στο διαδίκτυο

[mixalis]

Οι ερευνητές ασφαλείας εντόπισαν δύο κρίσιμα τρωτά σημεία στον Microsoft SharePoint Server και ανέπτυξαν ένα exploit που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα .

Αυτό είναι το CVE-2023-29357 (CVSS 9.8), μια ευπάθεια κλιμάκωσης προνομίων στον SharePoint Server 2019. Η Microsoft κυκλοφόρησε μια ενημέρωση κώδικα για την επίλυσή του τον Ιούνιο. Το ελάττωμα επιτρέπει σε έναν εισβολέα να παρακάμψει τους μηχανισμούς ελέγχου ταυτότητας και να αποκτήσει αυξημένα προνόμια χωρίς αλληλεπίδραση με τον χρήστη.

Ομοίως, το CVE-2023-24955 (CVSS 7.3) σχετίζεται με την απομακρυσμένη εκτέλεση κώδικα. Η Microsoft διόρθωσε αυτό το σφάλμα τον Μάιο. Η ευπάθεια επηρεάζει τα SharePoint Server 2019, 2016 και SharePoint Server Subscription Edition.

Και τα δύο προβλήματα θεωρούνται κρίσιμα. Σύμφωνα με την πλατφόρμα Censys, περισσότεροι από 100.000 διακομιστές SharePoint προσβάσιμοι στο Διαδίκτυο κινδυνεύουν δυνητικά .

Οι ερευνητές του StarLabs δημοσίευσαν λεπτομέρειες για το exploit, αποδεικνύοντας ακριβώς πώς τα ελαττώματα που ανακαλύφθηκαν μπορούν να χρησιμοποιηθούν για την απομακρυσμένη εκτέλεση κώδικα χωρίς έλεγχο ταυτότητας.

Η εκμετάλλευση μπορεί να πραγματοποιηθεί δημιουργώντας ένα ψεύτικο διακριτικό JWT. Χρησιμοποιώντας τον αλγόριθμο υπογραφής, μπορείτε να δημιουργήσετε ένα αναγνωριστικό που προσομοιώνει δικαιώματα διαχειριστή. Είναι σημαντικό να σημειωθεί ότι αυτός ο αλγόριθμος επιτρέπει την αλλαγή του διακριτικού χωρίς να ανιχνεύεται, καθώς δεν απαιτεί ψηφιακή υπογραφή. Ένα ψεύτικο κλειδί, από την άλλη πλευρά, επιτρέπει την εκκίνηση του λογισμικού στον διακομιστή χρησιμοποιώντας την ευπάθεια CVE-2023-24955.

Ο Valentin Lobshtein, ανεξάρτητος ειδικός στο Cyber ​​School OtheRia, δημοσίευσε τον κώδικα απόδειξης απόδειξης που αποδεικνύει την εκμετάλλευση του CVE-2023-29357 στο GitHub . Αυτός ο κώδικας δείχνει πώς ένας εισβολέας μπορεί να προσποιηθεί ότι είναι νόμιμος χρήστης και να αποκτήσει αυξημένα προνόμια σε συστήματα SharePoint που δεν έχουν επιδιορθωθεί.

Σε συνέντευξή του στο Dark Reading, ο Lobstein εξήγησε ότι τέτοιες επιθέσεις μπορεί να οδηγήσουν σε σοβαρές συνέπειες: από την απώλεια εμπιστευτικών δεδομένων έως την άρνηση υπηρεσίας (DoS).

Ανέφερε επίσης ένα άλλο exploit που παρουσίασε η ομάδα της VNPT Information Technology Company.

Η Microsoft δεν έχει σχολιάσει ακόμη. Ωστόσο, η εταιρεία συνιστούσε προηγουμένως την ενεργοποίηση της ενσωμάτωσης AMSI στο SharePoint και τη χρήση του Microsoft Defender ως προφύλαξη έναντι του CVE-2023-29357.

Το SOCRadar σημείωσε σε μια ανάρτηση ιστολογίου: « Είναι σημαντικό οι οργανισμοί που χρησιμοποιούν το SharePoint Server, ειδικά την έκδοση 2019, να αναλάβουν δράση το συντομότερο δυνατό. Από τότε που δημοσιεύτηκε το exploit, οι κίνδυνοι χρήσης του από τους επιτιθέμενους έχουν αυξηθεί σημαντικά.”