Bl0ckch41nnewsExploit para la vulnerabilidad de elevación de privilegios de Microsoft SharePoint Server (CVE-2023-29357) ~ Segu-Info

[ad_1]

En junio de 2023, Microsoft lanzó un parche para una vulnerabilidad crítica de
elevación de privilegios en SharePoint, identificada como
CVE-2023-29357 (CVSS score: 9.8). Ahora se encuentra disponible un exploit.

Ahora que el exploit es de acceso público, la probabilidad de que entidades
maliciosas lo aprovechen ha aumentado sustancialmente. La pronta
implementación de los parches y mitigaciones recomendados es crucial para
frenar posibles infracciones de seguridad y violaciones de datos.

Un atacante que aprovechara esta falla podría obtener privilegios de nivel
de administrador sin requerir autenticación previa. La vulnerabilidad
permite a los atacantes falsificar tokens de autenticación JWT, lo que les
permite ejecutar un ataque de red, eludir los procesos de autenticación y
acceder a los privilegios de un usuario autenticado. Es imperativo tener en
cuenta que esto no requiere ninguna interacción por parte del usuario.

Un investigador de StarLabs,
Nguyễn Tiến Giang, reveló un análisis exhaustivo
de una cadena de exploits compuesta dirigida a SharePoint durante el
evento Pwn2Own Vancouver 2023. La cadena implica dos vulnerabilidades clave:

  • Omisión de autenticación: un atacante siniestro puede hacerse pasar por
    cualquier usuario de SharePoint generando JWT válidos y utilizando el
    algoritmo de firma «ninguno». Esta táctica evita eficazmente las
    comprobaciones de validación de firmas al verificar los tokens JWT durante
    los procesos de autenticación de OAuth.
  • Inyección de código: los usuarios de SharePoint que poseen permisos de
    «Propietarios» pueden inyectar código arbitrario. Específicamente, pueden
    reemplazar el archivo /BusinessDataMetadataCatalog/BDCMetadata.bdcm, lo
    que hace que el código inyectado se compile en un ensamblado ejecutado por
    SharePoint posteriormente.

Sin embargo, el principal desafío fue aprovechar la falla de omisión de
autenticación para acceder solo a la API de SharePoint y luego identificar
una cadena RCE posterior a la autenticación a través de este AP.

Explotación en la naturaleza

Recientemente se
lanzó en GitHub un script de explotación público
para la vulnerabilidad de SharePoint. El script está diseñado para explotar
CVE-2023-29357, lo que permite a los atacantes elevar los privilegios en las
instalaciones de SharePoint Server afectadas. Además, los actores maliciosos
podrían encadenar esto con otra vulnerabilidad RCE para comprometer
gravemente la confidencialidad, integridad y disponibilidad de un sistema.

Para ofrecer una perspectiva más amplia, el script de explotación de GitHub
facilita:

  • Suplantación de usuario: esto permite a los atacantes ejecutar código
    arbitrario como la aplicación SharePoint, lo que podría provocar una
    denegación de servicio (DoS).
  • Resultados detallados: el script revela usuarios administradores con
    privilegios elevados y pueden funcionar tanto en modo de explotación única
    como masiva.

El script permite la ejecución de código arbitrario dentro del grupo
de aplicaciones de SharePoint y la cuenta de la granja de servidores de
SharePoint. Puede revelar los detalles de los usuarios administradores con
privilegios elevados, como título, correo electrónico, NameId y
NameIdIssuer. Cabe señalar que el script puede funcionar tanto en modo de
explotación única como en modo masivo.

Aunque el script se centra en la elevación de privilegios, un atacante puede
potencialmente encadenar el exploit para la vulnerabilidad CVE-2023-29357
con CVE-2023-24955 (vulnerabilidad de ejecución remota de código de
SharePoint Server) para comprometer la integridad, disponibilidad y
confidencialidad del sistema de destino.

Los detalles de uso del script para replicar la vulnerabilidad se
pueden encontrar en GitHub.

Además, en una publicación de Twitter, un usuario compartió intentos
fallidos de explotación relacionados con la vulnerabilidad CVE-2023-29357.

IIS log GET /_api/web/siteusers - 443 - x.x.x.x python-requests/2.28.1 - 401 0 0 544
GET /_api/web/siteusers/web/siteusers - 443 - x.x.x.x python-requests/2.28.1 - 401 0 0 72
GET /_api/web/siteusers - 443 - x.x.x.x python-requests/2.28.1 - 401 0 0 591

Actualmente existe miles de SharePoint vulnerables de acuerdo a
FOFA
y
Shodan
y
Hunter.



Versiones afectadas: ¿Está en riesgo su SharePoint?

Las vulnerabilidades, en particular CVE-2023-29357, afectan directamente a
SharePoint Server 2019. La versión probada, donde la cadena de exploits
demostró ser exitosa, fue SharePoint 2019 (versión 16.0.10396.20000).
Además, las pruebas incorporaron los parches de marzo de 2023 (KB5002358 and KB5002357).

Medidas defensivas

Para las organizaciones que ejecutan SharePoint Server, especialmente la
versión 2019, la acción inmediata es vital. Microsoft recomienda instalar
todas las actualizaciones de seguridad relacionadas con el software en uso.
Se puede acceder al primer parche que aborda esta vulnerabilidad aquí.

Actualizaciones disponibles de Microsoft:

Si bien la aplicación de parches era el medio principal y más recomendado de
protección contra esta vulnerabilidad, Microsoft también destacó algunos
factores atenuantes que pueden ser de ayuda:

Integración AMSI y Microsoft Defender: Microsoft informa que los
clientes que han activado la función de integración AMSI (Interfaz de
escaneo antimalware) y emplean Microsoft Defender en sus granjas de
SharePoint Server están protegidos contra esta vulnerabilidad.

Esta capa de seguridad ofrece otro nivel de protección. Para aquellos
interesados en implementar AMSI con su SharePoint Server, se puede encontrar
una guía paso a paso en la documentación oficial de Microsoft: Configurar la
integración de AMSI con SharePoint Server.

Fuente:
StarLabs
|
SOCRadar


[ad_2]

Source link

Los comentarios están cerrados.