На GitHub появился код эксплойта для критической уязвимости обхода аутентификации в Microsoft SharePoint Server, позволяющей повысить уровень привилегий.
Отслеживаемая как CVE-2023-29357, уязвимость позволяет неавторизованным злоумышленникам получить привилегии администратора после успешной эксплуатации в атаках низкой сложности, не требующих взаимодействия с пользователем.
"Злоумышленник, получивший доступ к поддельным токенам аутентификации JWT, может использовать их для проведения сетевой атаки в обход аутентификации и получения доступа к привилегиям аутентифицированного пользователя", - пояснила Microsoft в июне, когда исправляла уязвимость.
"Злоумышленник, успешно эксплуатирующий эту уязвимость, может получить привилегии администратора. Злоумышленнику не нужны ни привилегии, ни выполнение каких-либо действий пользователем".
25 сентября исследователь STAR Labs Nguyễn Tiến Giang (Janggggg) опубликовал технический анализ, описывающий процесс эксплуатации цепочки уязвимостей.
В их число входит ошибка CVE-2023-29357 и вторая критическая уязвимость, идентифицированная как CVE-2023-24955, которая позволяет удаленно выполнить код через инъекцию команд.
В марте 2023 года на конкурсе Pwn2Own в Ванкувере Janggggg успешно выполнил RCE на сервере Microsoft SharePoint Server с помощью этой цепочки эксплойтов и выиграл приз в размере 100 тыс. долл.
Через день после обнародования технического анализа на GitHub появился proof-of-concept эксплойт для уязвимости CVE-2023-29357, связанной с повышением привилегий.
Хотя эта уязвимость не позволяет злоумышленникам удаленно выполнить код, поскольку не охватывает всю цепочку уязвимостей, показанную в Pwn2Own Vancouver, автор объясняет, что злоумышленники потенциально могут объединить ее с уязвимостью CVE-2023-24955 command injection для достижения этой цели.
"Скрипт предоставляет сведения об административных пользователях с высокими привилегиями и может работать как в одиночном, так и в пакетном режимах эксплуатации", - говорит разработчик эксплойта.
"Однако в целях соблюдения этических норм данный скрипт не содержит функций для выполнения RCE и предназначен только для образовательных целей, легального и авторизованного тестирования".
Также доступно правило YARA, помогающее сетевым защитникам анализировать журналы на наличие признаков потенциальных эксплойтов на серверах SharePoint, использующих PoC-эксплойт CVE-2023-29357.
Несмотря на то, что существующий эксплойт не дает возможности немедленного удаленного выполнения кода, в качестве превентивной меры против возможных атак настоятельно рекомендуется применить исправления безопасности, выпущенные Microsoft в начале этого года.
Теперь, когда Janggggg опубликовал технические подробности обоих дефектов, остается только ждать, когда угрожающие лица или другие исследователи безопасности воспроизведут полную цепочку эксплойтов для достижения полного удаленного выполнения кода.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!