Эксперт по безопасности обнаружил в SharePoint недостаток, который можно использовать для удаленного выполнения произвольного кода путем отправки специально созданного пакета приложения SharePoint.
Резюме:
Несколько дней назад пришло сообщение от Alienvault, в котором говорится, что злоумышленники все еще используют уязвимость SharePoint для атаки на правительственную организацию Ближнего Востока. Было обнаружено, что Департамент по подоходному налогу в Индии и MIT Sloan также были уязвимы для CVE-2019-0604 - уязвимости удаленного выполнения кода, существующей в Microsoft SharePoint. Злоумышленник может воспользоваться этой уязвимостью, просто отправив специально созданный пакет приложений SharePoint.
Технический анализ:
Исследователь обнаружил эту уязвимость в свободное время, когда просматривал ZoomEye. Приложение (cometaxindia.gov.in) оказалось уязвимым, поскольку оно использовало SharePoint в качестве технологии для размещения своей службы. Чтобы убедиться в этом, отправили специально созданную полезную нагрузку, которая позволяет удаленному серверу (cometaxindia.gov.in) выполнить поиск DNS на моем соучастнике «отрыжки». Вы можете проверить это, отправив созданную полезную нагрузку XML или через desharialize.
Кроме того, школа управления MIT Sloan также оказалась уязвимой с помощью CVE-2019-0604.
Раскрытие информации:
СЕРТ-В (IncomeTaxIndia)
Сообщение было отправлено в CERT-In 12 февраля 2020 г., а 13 февраля 2020 г. оно получило первоначальный ответ. Сообщение о том, что уязвимость была исправлена.
Для MIT:
Сообщение было отправлено в службу безопасности MIT 13 февраля 2020 г., а 14 февраля 2020 г. они получили первоначальный ответ. После этого сообщение об уязвимости было исправлено 15 февраля 2020 г.
Об авторе: исследователь безопасности Дхирадж Мишра (@mishradhiraj)
Исходное сообщение по адресу:
https://www.inputzero.io/2020/02/sharepoint-rce.html
Предупреждение: Вся информация представлена исключительно в образовательных целях.
