Um código de exploração de prova de conceito apareceu no GitHub para uma vulnerabilidade crítica de autenticação em bypass no Microsoft SharePoint Server, permitindo escalada de privilégios.
Rastreada como
CVE-2023-29357
, a falha de segurança pode permitir que invasores não autenticados obtenham privilégios de administrador após a exploração bem-sucedida em ataques de baixa complexidade que não exigem a interação do usuário.
"Um invasor que obteve acesso a tokens falsos de autenticação JWT pode usá-los para executar um ataque à rede que ignora a autenticação e permite que ele obtenha acesso aos privilégios de um usuário autenticado", explicou a Microsoft em junho, quando corrigiu a vulnerabilidade.
"Um invasor que explorou com sucesso essa vulnerabilidade poderia obter privilégios de administrador.
O invasor não precisa de privilégio nenhum, nem o usuário precisa realizar qualquer ação."
No dia 25 de setembro, o pesquisador da STAR Labs, Nguyễn Tiến Giang (Janggggg), publicou uma análise técnica descrevendo o processo de exploração para uma cadeia de vulnerabilidades.
Essas incluem o erro
CVE-2023-29357
e uma segunda falha crítica identificada como
CVE-2023-24955
, que facilita a execução remota de código por meio da injeção de comando.
Janggggg conseguiu alcançar a RCE em um servidor Microsoft SharePoint usando essa cadeia de exploração durante o concurso Pwn2Own em março de 2023 em Vancouver, ganhando uma recompensa de $100.000.
Um dia depois que a análise técnica foi tornada pública, uma prova de conceito para a exploração da vulnerabilidade de escalada de privilégio
CVE-2023-29357
surgiu no GitHub.
Embora este exploit não conceda aos invasores a execução remota de código, pois não abrange toda a cadeia de exploração demonstrada no Pwn2Own Vancouver, o autor esclarece que os invasores podem combinar com o bug de injeção de comando
CVE-2023-24955
para alcançar este objetivo.
"O script exibe detalhes de usuários administrativos com privilégios elevados e pode funcionar nos modos de exploit único e em massa", diz o desenvolvedor do exploit.
"Entretanto, para manter uma postura ética, este script não contém funcionalidades para executar RCE e é destinado apenas para fins educacionais e testes autorizados e legais."
Uma regra YARA também está disponível para ajudar os defensores da rede a analisar logs em busca de sinais de exploração potencial em seus servidores SharePoint usando o exploit PoC
CVE-2023-29357
.
Apesar de o exploit existente não conceder imediatamente a capacidade de execução remota de código, é altamente recomendável aplicar os patches de segurança emitidos pela Microsoft este ano como uma medida preventiva contra ataques potenciais.
Agora que Janggggg divulgou detalhes técnicos de ambas as falhas, é apenas uma questão de tempo até que atores de ameaças ou outros pesquisadores de segurança reproduzam a cadeia de exploração completa para alcançar a execução total remota de código.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...