CISA предупреждает: критическая уязвимость SharePoint вышла из-под контроля

Агентство кибербезопасности и безопасности инфраструктуры США (CISA) внесло в свой каталог известных эксплуатируемых уязвимостей (KEV) критический недостаток безопасности, затрагивающий Microsoft SharePoint Server. Это решение было принято на основании данных об активном использовании данной уязвимости.

Проблема, получившая обозначение CVE-2023-29357 с критическим рейтингом CVSS 9.8 баллов, представляет собой ошибку повышения привилегий, которая может быть использована злоумышленниками для получения прав администратора. Microsoft выпустила патч , устраняющий эту проблему, ещё в июне 2023 года, однако хакеры до сих пор активно используют её в атаках на уязвимые экземпляры SharePoint Server.

В ходе эксплуатации уязвимости злоумышленник, получивший доступ к поддельным JWT-токенам, может использовать их для осуществления сетевой атаки, обходя систему аутентификации и получая доступ к привилегиям аутентифицированного пользователя. Для этого злоумышленнику не требуются никакие права, а пользователю не нужно предпринимать никаких действий.

Цепочка удаленного выполнения кода сочетает в себе уязвимость обхода аутентификации ( CVE-2023–29357 ) и инъекции кода ( CVE-2023-24955 , CVSS 7.2). Последняя была устранена в мае 2023 года.

Специалист безопасности Нгуен Тьен Джанг из компании StarLabs SG отметил в своём техническом отчёте, опубликованном в сентябре 2023 года, что процесс обнаружения и разработки этой цепочки эксплуатации занял почти год усиленных исследований.

Конкретные детали реального использования CVE-2023–29357, как и личность злоумышленников, эксплуатирующих эту уязвимость, на данный момент неизвестны. Тем не менее, федеральным агентствам США рекомендуется применить все необходимые патчи до 31 января 2024 года для защиты от этой активной угрозы.