CISA, saldırganların artık uzaktan kod yürütmeye yönelik başka bir kritik hatayla zincirlenebilecek kritik bir Microsoft SharePoint ayrıcalık yükseltme güvenlik açığından yararlandıkları konusunda uyarıyor.
CVE-2023-29357 olarak takip edilen güvenlik açığı, uzaktaki saldırganların, sahte JWT kimlik doğrulama belirteçleri kullanarak kimlik doğrulamasını atlatarak yama uygulanmamış sunucularda yönetici ayrıcalıkları elde etmesine olanak tanıyor.
Microsoft, “Sahte JWT kimlik doğrulama belirteçlerine erişim kazanan bir saldırgan, kimlik doğrulamasını atlayan ve kimliği doğrulanmış bir kullanıcının ayrıcalıklarına erişim elde etmesine olanak tanıyan bir ağ saldırısı yürütmek için bunları kullanabilir” diye açıklıyor.
“Bu güvenlik açığından başarıyla yararlanan bir saldırgan, yönetici ayrıcalıkları elde edebilir. Saldırganın herhangi bir ayrıcalığa veya kullanıcının herhangi bir işlem yapmasına gerek yoktur.”
Uzaktaki saldırganlar, bu kusuru CVE-2023-24955 SharePoint Sunucusu uzaktan kod yürütme güvenlik açığıyla zincirlerken, komut ekleme yoluyla güvenliği ihlal edilmiş SharePoint sunucularında rastgele kod çalıştırabilirler.
Bu Microsoft SharePoint Server istismar zinciri, STAR Labs araştırmacısı tarafından başarıyla gösterildi Jang (Nguyen Tien Giang) geçen yıl Mart 2023’te Vancouver’da düzenlenen Pwn2Own yarışmasında, 100.000$ ödül kazanmak.
Araştırmacı, 25 Eylül’de kullanım sürecini ayrıntılı olarak açıklayan bir teknik analiz yayınladı.
Sadece bir gün sonra, bir güvenlik araştırmacısı GitHub’da CVE-2023-29357 kavram kanıtlama istismarını da yayınladı.
Açıktan yararlanma, hedeflenen sistemlerde uzaktan kod yürütülmesine izin vermese de, Pwn2Own’da tanıtılan zincir için tam bir açıktan yararlanma olmadığından, yazarı, saldırganların RCE için CVE-2023-24955 hatasıyla bunu kendilerinin zincirleyebileceğini söyledi.
PoC istismarının geliştiricisi, “Komut dosyası, yükseltilmiş ayrıcalıklara sahip yönetici kullanıcıların ayrıntılarını çıkarıyor ve hem tekli hem de toplu istismar modlarında çalışabiliyor” diyor.
“Ancak, etik bir duruşu sürdürmek adına, bu komut dosyası RCE’yi gerçekleştirmeye yönelik işlevler içermemektedir ve yalnızca eğitim amaçlıdır ve yasal ve yetkili testler içindir.”
O zamandan bu yana, bu zincire yönelik diğer birçok PoC istismarı çevrimiçi olarak ortaya çıktı, bu da istismar çıtasını düşürdü ve daha az vasıflı tehdit aktörlerinin bile saldırılarda bunu kullanmasına olanak sağladı.
Henüz CVE-2023-29357’nin aktif kullanımıyla ilgili ek ayrıntılar sunmasa da CISA, güvenlik açığını Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğu’na ekledi ve artık ABD federal kurumlarının 31 Ocak’ta ay sonuna kadar yama yapmasını gerektiriyor.