Exploit lançado para falha de autenticação do Microsoft SharePoint Server
10 de Outubro de 2023

Um código de exploração de prova de conceito apareceu no GitHub para uma vulnerabilidade crítica de autenticação em bypass no Microsoft SharePoint Server, permitindo escalada de privilégios.

Rastreada como CVE-2023-29357 , a falha de segurança pode permitir que invasores não autenticados obtenham privilégios de administrador após a exploração bem-sucedida em ataques de baixa complexidade que não exigem a interação do usuário.

"Um invasor que obteve acesso a tokens falsos de autenticação JWT pode usá-los para executar um ataque à rede que ignora a autenticação e permite que ele obtenha acesso aos privilégios de um usuário autenticado", explicou a Microsoft em junho, quando corrigiu a vulnerabilidade.

"Um invasor que explorou com sucesso essa vulnerabilidade poderia obter privilégios de administrador.

O invasor não precisa de privilégio nenhum, nem o usuário precisa realizar qualquer ação."

No dia 25 de setembro, o pesquisador da STAR Labs, Nguyễn Tiến Giang (Janggggg), publicou uma análise técnica descrevendo o processo de exploração para uma cadeia de vulnerabilidades.

Essas incluem o erro CVE-2023-29357 e uma segunda falha crítica identificada como CVE-2023-24955 , que facilita a execução remota de código por meio da injeção de comando.

Janggggg conseguiu alcançar a RCE em um servidor Microsoft SharePoint usando essa cadeia de exploração durante o concurso Pwn2Own em março de 2023 em Vancouver, ganhando uma recompensa de $100.000.

Um dia depois que a análise técnica foi tornada pública, uma prova de conceito para a exploração da vulnerabilidade de escalada de privilégio CVE-2023-29357 surgiu no GitHub.

Embora este exploit não conceda aos invasores a execução remota de código, pois não abrange toda a cadeia de exploração demonstrada no Pwn2Own Vancouver, o autor esclarece que os invasores podem combinar com o bug de injeção de comando CVE-2023-24955 para alcançar este objetivo.

"O script exibe detalhes de usuários administrativos com privilégios elevados e pode funcionar nos modos de exploit único e em massa", diz o desenvolvedor do exploit.

"Entretanto, para manter uma postura ética, este script não contém funcionalidades para executar RCE e é destinado apenas para fins educacionais e testes autorizados e legais."

Uma regra YARA também está disponível para ajudar os defensores da rede a analisar logs em busca de sinais de exploração potencial em seus servidores SharePoint usando o exploit PoC CVE-2023-29357 .

Apesar de o exploit existente não conceder imediatamente a capacidade de execução remota de código, é altamente recomendável aplicar os patches de segurança emitidos pela Microsoft este ano como uma medida preventiva contra ataques potenciais.

Agora que Janggggg divulgou detalhes técnicos de ambas as falhas, é apenas uma questão de tempo até que atores de ameaças ou outros pesquisadores de segurança reproduzam a cadeia de exploração completa para alcançar a execução total remota de código.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...