Microsoft SharePoint Server’da iki kritik güvenlik açığı keşfeden araştırmacılar, etkilenen sunucularda uzaktan kod yürütülmesini sağlamak için iki güvenlik açığını birbirine zincirleyen geliştirdikleri bir istismarın ayrıntılarını yayınladı.
Ayrı olarak, başka bir güvenlik araştırmacısı bu hafta GitHub’da SharePoint güvenlik açıklarından biri için bir saldırganın güvenlik açığı bulunan sistemlerde yönetici ayrıcalıkları kazanmak için bu kusurdan nasıl yararlanabileceğini gösteren kavram kanıtı kodu yayınladı.
İki Kritik Kusur
CVE-2023-29357 olarak izlenen güvenlik açıklarından biri, Microsoft’un Haziran ayı için aylık güvenlik güncelleştirmesinde bir düzeltme eki yayınladığı SharePoint Server 2019’daki ayrıcalık yükselmesi kusurudur. Güvenlik açığı, kimliği doğrulanmamış bir saldırganın, kimlik doğrulama kontrollerini atlamak ve etkilenen bir SharePoint sunucusunda yönetici ayrıcalıkları kazanmak için sahte bir JSON Web Belirteci (JWT) kullanmasına olanak tanır. Saldırganın kusurdan yararlanmak için hiçbir ayrıcalığa veya herhangi bir kullanıcı etkileşimine ihtiyacı yoktur.
CVE-2023-24955 olarak tanımlanan diğer kusur, Microsoft’un Mayıs ayında yamaladığı uzaktan kod yürütme (RCE) güvenlik açığıdır. Uzaktaki saldırganların SharePoint Sever 2019, SharePoint Server 2016 ve SharePoint Server Subscription Edition’da rastgele kod yürütmesine olanak tanır.
Microsoft, her iki kusurun da kritik öneme sahip olduğunu ve tehdit aktörlerinin önümüzdeki aylarda yararlanma olasılığının daha yüksek olduğu güvenlik açıkları olduğunu belirtti. NIST’in Ulusal Güvenlik Açığı Veritabanı (NVD), CVE-2023-29357 için 9,8 önem derecesi ve RCE kusuru için 7,3 önem derecesi atadı. İnternet tarama platformu Censys’e göre şu anda birden fazla var 100,00 İnternete açık Kusurlardan etkilenebilecek SharePoint sunucuları.
Kimlik Doğrulama Öncesi RCE Açıklardan Yararlanma Zinciri
Bu hafta Microsoft’a her iki kusuru da bildiren Singapur merkezli StarLabs araştırmacıları, etkilenen sistemlerde ön kimlik doğrulama RCE’si elde etmek için güvenlik açıklarını kullanmalarına olanak tanıyan, geliştirdikleri bir yararlanma zincirinin ayrıntılarını yayınladı. Bu istismarı ilk kez Mart ayında Pwn2own Vancouver’da sergilediler.
Teknik bir makalede araştırmacılardan biri, SharePoint Server 2019 örneğinde yönetici ayrıcalıklarına sahip bir kullanıcının kimliğine bürünmek için “Yok” imzalama algoritmasını kullanarak geçerli bir JWT jetonunu ilk kez nasıl taklit ettiklerini açıkladı. “Yok” imzalama algoritması temel olarak bir JWT tokeninin dijital olarak imzasız olduğu ve dolayısıyla tespit edilmeden değiştirilebileceği anlamına gelir. StarLabs araştırmacıları daha sonra CVE-2023-24955 güvenlik açığı aracılığıyla rastgele kod enjekte etmek için bu ayrıcalıkları nasıl kullanabileceklerini açıkladılar. StarLabs güvenlik araştırmacısı Nguyễn Tiến Giang, “İki hatayı birbirine zincirleyerek, kimliği doğrulanmamış bir saldırgan, hedef SharePoint sunucusunda uzaktan kod yürütme (RCE) gerçekleştirebilir” dedi.
GitHub’da ayrı PoC
Ayrı olarak, başka bir bağımsız güvenlik araştırmacısı, Fransa’daki Oteria Cyber School’da siber güvenlik öğrencisi olan Valentin Lobstein da bu hafta GitHub’da bir saldırganın CVE- aracılığıyla yama yapılmamış SharePoint Server 2019 sistemlerinde nasıl yönetici ayrıcalıkları kazanabileceğini gösteren kavram kanıtlama kodunu yayınladı. 2023-29357. Lobstein’ın istismarı tamamen ayrıcalıkların arttırılmasına odaklandı. Ancak saldırganların, etkilenen bir SharePoint sunucusunun gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atmak için CVE-2023-24955 ile açıktan yararlanmayı zincirleyebileceğini söyledi. “Kötüye kullanım komut dosyası, kimliği doğrulanmış kullanıcıların kimliğine bürünmeyi kolaylaştırarak saldırganların SharePoint uygulama havuzu ve SharePoint sunucu grubu hesabı bağlamında isteğe bağlı kod yürütmesine olanak tanıyarak potansiyel olarak hizmet reddine (DoS) neden olabilir” diye yazdı. Bu, bir saldırganın yükseltilmiş ayrıcalıklara sahip yönetici kullanıcıların ayrıntılarına nasıl erişebildiğini gösterir ancak birinin etkilenen sistemlerde RCE’yi etkinleştirmek için bunu nasıl kullanabileceğini göstermez.
Dark Reading’e yaptığı yorumda Lobstein, PoC’sinin StarLabs’taki araştırmacıların bu haftaki teknik makalelerinde tanımladıklarından farklı olduğunu söylüyor. Vietnamlı güvenlik şirketi VNPT Bilgi Teknolojileri Şirketi’nden araştırmacıların 31 Ağustos’ta yayımladığı ve bir saldırganın JWT tokenlarını taklit etmek ve ayrıcalıkları yükseltmek için “Yok” algoritmasını nasıl kullanabileceğini gösteren başka bir PoC’ye işaret ediyor.
“Ne zaman [an attacker is] Lobstein, “yönetici ayrıcalıkları altında faaliyet gösteriyorsa çeşitli kritik sonuçların mümkün olduğunu” söylüyor. Kötü niyetli bir yönetici, kurumsal verileri silebilir veya verileri birden çok yolla bozabilir, hassas verilere erişebilir ve bu verileri sızdırabilir veya kullanıcı ve grup izinlerini değiştirerek SharePoint ortamlarında yaygın kesintilere neden olabilir. , diyor.
Microsoft, Dark Reading’in yorum talebine hemen yanıt vermedi. Şirket daha önce kuruluşların SharePoint’te Kötü Amaçlı Yazılımdan Koruma Tarama Arayüzü (AMSI) entegrasyon özelliğini etkinleştirmesini ve CVE-2023-29357’ye karşı koruyucu bir önlem olarak Microsoft Defender’ı kullanmasını önermişti.
SOCRadar bir blogda şunları söyledi: “SharePoint Server çalıştıran kuruluşlar için, özellikle de sürüm 2019, acil eylem hayati öneme sahiptir.” “Bu istismarın artık kamuya açık hale gelmesiyle, kötü niyetli varlıkların bundan yararlanma olasılığı önemli ölçüde arttı.”