Microsoft SharePoint Server’da ayrıcalık yükseltmeye izin veren kritik bir kimlik doğrulama atlama güvenlik açığı için kavram kanıtı yararlanma kodu GitHub’da ortaya çıktı.
CVE-2023-29357 olarak izlenen güvenlik açığı, kimliği doğrulanmamış saldırganların, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda başarılı bir şekilde yararlanılmasının ardından yönetici ayrıcalıkları kazanmasına olanak tanıyabilir.
Microsoft, haziran ayında güvenlik açığını düzelttiğinde, “Sahte JWT kimlik doğrulama belirteçlerine erişim kazanan bir saldırgan, kimlik doğrulamasını atlayan ve kimliği doğrulanmış bir kullanıcının ayrıcalıklarına erişmesine olanak tanıyan bir ağ saldırısı yürütmek için bunları kullanabilir.” dedi.
“Bu güvenlik açığından başarıyla yararlanan bir saldırgan, yönetici ayrıcalıkları elde edebilir. Saldırganın herhangi bir ayrıcalığa veya kullanıcının herhangi bir işlem yapmasına gerek yoktur.”
25 Eylül’de STAR Labs Nguyen Tien Giang (araştırmacıJanggggg) bir güvenlik açığı zincirinin istismar sürecini açıklayan bir teknik analiz yayınladı.
Bunlar arasında CVE-2023-29357 hatası ve CVE-2023-24955 olarak tanımlanan, komut ekleme yoluyla uzaktan kod yürütülmesini kolaylaştıran ikinci bir kritik kusur yer alıyor.
Janggggg, Mart 2023’te Vancouver’da düzenlenen Pwn2Own yarışması sırasında bu yararlanma zincirini kullanarak bir Microsoft SharePoint Sunucusunda RCE’yi başarıyla elde etti. 100.000$ ödül kazanmak.
Teknik analizin kamuya açıklanmasından bir gün sonra GitHub’da CVE-2023-29357 ayrıcalık yükseltme güvenlik açığına yönelik bir kavram kanıtlama istismarı ortaya çıktı.
Her ne kadar bu açık, Pwn2Own Vancouver’da gösterilen tüm açık zincirini kapsamadığı için saldırganlara uzaktan kod yürütme hakkı vermese de yazar, saldırganların bu amaca ulaşmak için bunu potansiyel olarak CVE-2023-24955 komut ekleme hatasıyla birleştirebileceğini açıklıyor.
Açıktan yararlanmanın geliştiricisi, “Komut dosyası, yükseltilmiş ayrıcalıklara sahip yönetici kullanıcıların ayrıntılarını çıkarıyor ve hem tekli hem de toplu yararlanma modlarında çalışabiliyor” diyor.
“Ancak, etik bir duruşu sürdürmek adına, bu komut dosyası RCE’yi gerçekleştirmeye yönelik işlevler içermemektedir ve yalnızca eğitim amaçlıdır ve yasal ve yetkili testler içindir.”
A ÇOCUKLAR kural Ayrıca ağ savunucularının, CVE-2023-29357 PoC istismarını kullanarak SharePoint sunucularındaki olası istismar işaretlerini tespit etmek için günlükleri analiz etmelerine yardımcı olmak için de mevcuttur.
Mevcut istismarın anında uzaktan kod yürütme yetenekleri sağlamamasına rağmen, potansiyel saldırılara karşı önleyici bir tedbir olarak Microsoft tarafından bu yılın başlarında yayınlanan güvenlik yamalarının uygulanması önemle tavsiye edilir.
Artık Janggggg her iki kusura ilişkin teknik ayrıntıları yayınladığına göre, tehdit aktörlerinin veya diğer güvenlik araştırmacılarının tam uzaktan kod yürütmeyi sağlamak için tüm istismar zincirini yeniden oluşturması yalnızca an meselesi.