Патчи давно выпущены, но могут ли эксплойты «разбудить зверя»?
Исследователи выявили две критические уязвимости в Microsoft SharePoint Server и разработали эксплойт, позволяющий выполнить код на затронутых серверах удаленно.
Для просмотра ссылки Войдиили Зарегистрируйся (CVSS 9.8.) — это уязвимость повышения привилегий в SharePoint Server 2019. Для её устранения Microsoft выпустила патч в июне. Дефект позволяет атакующему обойти механизмы аутентификации и получить расширенные права без взаимодействия с пользователем.
Для просмотра ссылки Войдиили Зарегистрируйся (CVSS 7.3.) относится к удаленному выполнению кода. Ее Microsoft устранила еще в мае. Уязвимость затрагивает SharePoint Server 2019, 2016 и SharePoint Server Subscription Edition.
Обе проблемы признаны критическими. Согласно данным платформы Censys, более 100 000 серверов SharePoint, доступных в интернете, потенциально подвержены риску.
Исследователи из Для просмотра ссылки Войдиили Зарегистрируйся опубликовали детали эксплойта, продемонстрировав, как именно обнаруженные дефекты можно применить для удаленного выполнения кода без предварительной аутентификации.
Начали с создания поддельного JWT-токена. С помощью алгоритма подписи «None» удалось сгенерировать идентификатор, который имитирует права администратора. Важно отметить, что этот алгоритм позволяет изменять токен без обнаружения, так как он не требует цифровой подписи. Поддельный ключ позволил запустить ПО на сервере с помощью уязвимости CVE-2023-24955.
Валентин Лобштейн, независимый специалист из Oteria Cyber School, опубликовал на Для просмотра ссылки Войдиили Зарегистрируйся код для доказательства концепции (proof-of-concept), демонстрирующий эксплуатацию CVE-2023-29357. Этот код показывает, как злоумышленник может притвориться легальным пользователем и получить расширенные права на необновленных системах SharePoint.
В интервью изданию Dark Reading Лобштейн пояснил, что такие атаки могут привести к серьезным последствиям: от утраты конфиденциальных данных до отказа в обслуживании (DoS).
Он также упомянул другой эксплойт, представленный командой VNPT Information Technology Company.
Microsoft пока не дает комментариев. Однако ранее компания рекомендовала активировать функцию интеграции AMSI на SharePoint и использовать Microsoft Defender как меру предосторожности против CVE-2023-29357.
Компания SOCRadar отметила в своем блоге: «Организациям, использующим SharePoint Server, в частности версию 2019, важно принять меры как можно скорее. С момента публикации эксплойта риски его использования злоумышленниками значительно возросли».
Исследователи выявили две критические уязвимости в Microsoft SharePoint Server и разработали эксплойт, позволяющий выполнить код на затронутых серверах удаленно.
Для просмотра ссылки Войди
Для просмотра ссылки Войди
Обе проблемы признаны критическими. Согласно данным платформы Censys, более 100 000 серверов SharePoint, доступных в интернете, потенциально подвержены риску.
Исследователи из Для просмотра ссылки Войди
Начали с создания поддельного JWT-токена. С помощью алгоритма подписи «None» удалось сгенерировать идентификатор, который имитирует права администратора. Важно отметить, что этот алгоритм позволяет изменять токен без обнаружения, так как он не требует цифровой подписи. Поддельный ключ позволил запустить ПО на сервере с помощью уязвимости CVE-2023-24955.
Валентин Лобштейн, независимый специалист из Oteria Cyber School, опубликовал на Для просмотра ссылки Войди
В интервью изданию Dark Reading Лобштейн пояснил, что такие атаки могут привести к серьезным последствиям: от утраты конфиденциальных данных до отказа в обслуживании (DoS).
Он также упомянул другой эксплойт, представленный командой VNPT Information Technology Company.
Microsoft пока не дает комментариев. Однако ранее компания рекомендовала активировать функцию интеграции AMSI на SharePoint и использовать Microsoft Defender как меру предосторожности против CVE-2023-29357.
Компания SOCRadar отметила в своем блоге: «Организациям, использующим SharePoint Server, в частности версию 2019, важно принять меры как можно скорее. С момента публикации эксплойта риски его использования злоумышленниками значительно возросли».
- Источник новости
- www.securitylab.ru