CVE-2023-29357 Erkennung: Ausnutzung der Microsoft SharePoint Server-Berechtigungseskalationsanfälligkeit kann zu einer Pre-Auth-RCE-Kette führen
Inhaltsverzeichnis:
Bedrohungsakteure richten häufig ihr Augenmerk auf Microsoft SharePoint Server-Produkte, indem sie eine Reihe von RCE-Schwachstellen ausnutzen, wie z.B. CVE-2022-29108 and CVE-2022-26923. Im Frühsommer 2023 hat Microsoft einen Patch für die neu entdeckte SharePoint Server Privilegienerweiterungs-Schwachstelle, bekannt als CVE-2023-29357, herausgegeben, die als kritisch angesehen wird. Mit dem kürzlich veröffentlichten PoC-Exploit für CVE-2023-29357 können Angreifer Administratorprivilegien erlangen, ohne vorherige Authentifizierung in den kompromittierten SharePoint Server-Instanzen. Die Verkettung von CVE-2023-29357 mit einer anderen Schwachstelle, die als CVE-2023-24955 bekannt ist, kann eine noch größere Bedrohung für kompromittierte Nutzer darstellen, indem Angreifer eine Pre-Auth RCE auf dem Zielsystem erlangen können.
Erkennung von Exploit-Versuchen der CVE-2023-29357
Die proaktive Erkennung von Schwachstellen-Ausnutzungen bleibt aufgrund der ständig zunehmenden Anzahl von CVEs in beliebten Softwarelösungen eines der wichtigsten Anwendungsfälle der Cybersicherheit. Ausgenutzt für Angriffe in freier Wildbahn, stellen Schwachstellen eine erhebliche Bedrohung für Cyberverteidiger dar, indem sie die Infrastruktur einer Organisation dem Risiko einer Datenverletzung aussetzen. Um die Effizienz der SOC zu steigern und Sicherheitsteams zu helfen, bestehende Schwachstellen rechtzeitig zu beheben, bietet SOC Prime ein umfangreiches Set von Tools, die auf die Jagd nach Schwachstellenausnutzungen sowie kuratierte Erkennungsinhalte abzielen, um aufkommende Bedrohungen rechtzeitig zu entdecken.
Mit der zunehmenden Bedrohung durch potenzielle Ausnutzung von CVE-2023-29357 in freier Wildbahn suchen Cyberverteidiger nach Möglichkeiten, ihre SharePoint Server-Instanzen gegen böswillige Eindringversuche zu schützen. Das SOC Prime Team hat kürzlich eine neue Sigma-Regel veröffentlicht, die auf dem öffentlich verfügbaren PoC-Exploit-Code basiert. Der Erkennungsalgorithmus identifiziert potenzielle Ausnutzungsversuche von CVE-2023-29357, die Teil der Pre-Auth SharePoint Server RCE-Kette sein könnten. Folgen Sie dem untenstehenden Link, um sofort auf die relevante Erkennung zuzugreifen, die im umfangreichen Regel-Feed des Threat Detection Marketplace verfügbar ist:
Diese Sigma-Regel kann in 18 cloudnativen und vor Ort Sicherheitslösungen verwendet werden und ist mit dem MITRE ATT&CK®-Framework v12 ausgerichtet, das die Taktik der lateralen Bewegung sowie die Technik der Ausnutzung von Remote-Diensten (T1210) adressiert.
Sicherheitsingenieure können auch von den folgenden Sigma-Regeln profitieren, um mehr Bedrohungen zu entdecken, die die SharePoint Server-Geräte gefährden können, und sicherstellen, dass ihr System vollständig gegen feindliche Eingriffe geschützt ist. Drücken Sie auf die Detektionen erkunden Schaltfläche, um die Liste der relevanten Sigma-Regeln und CTI zu durchstöbern, die mit ihnen verknüpft sind.
Analyse von CVE-2023-29357
Mitte Juni 2023 hat Microsoft einen Patch herausgegeben, um eine kritische CVE-2023-29357 Schwachstelle in Microsoft SharePoint Server zu adressieren, die einen CVSS-Score von 9,8 aufweist. Einmal ausgenutzt, ermöglicht dieser Sicherheitsfehler, dass Gegner Administratorprivilegien erlangen, ohne vorherige Authentifizierung. Die Ausnutzungsversuche dieser Privilegienerweiterungs-Schwachstelle erlauben es, JWT-Authentifizierungstoken zu imitieren, um einen Netzwerkangriff zu starten, Authentifizierungsverfahren zu umgehen und auf die Privilegien eines authentifizierten Nutzers zuzugreifen.
Mit dem kürzlich auf GitHub veröffentlichtenPoC-Exploit-Code rückt CVE-2023-29357 ins Rampenlicht im Cyberbedrohungsbereich. Während das Exploit-Skript hauptsächlich auf die Erhöhung von Privilegien fokussiert ist, können Gegner auch einen weiteren Fehler im SharePoint Server ausnutzen, bekannt als CVE-2023-24955, was zu einer RCE-Exploit-Kette und infolgedessen zu einem vollständigen Systemkompromiss führen kann. Aus einer größeren Perspektive ermöglicht das GitHub-Exploit-Skript die Imitation authentifizierter Nutzer, wodurch Angreifer beliebigen Code ausführen können, der als SharePoint-Anwendung getarnt ist, was potenziell zu einem DoS-Angriff führen könnte. Darüber hinaus offenbart der PoC-Exploit-Code Administratornutzer mit erhöhten Privilegien, mit der Fähigkeit, sowohl im Einzel- als auch im Massen-Exploit-Modus zu arbeiten.
Ein Cybersicherheitsforscher von StarLabs, Nguyễn Tiến Giang, lieferte eine eingehende Analyse einer komplexen Pre-Authentifizierungs-Exploit-Kette, die darauf ausgelegt ist, SharePoint-Serverprodukte zu gefährden und die beiden oben genannten RCE-Sicherheitslücken beinhaltet. Laut seiner Forschung liegt die größte Herausforderung darin, die Authentifizierungsumgehungsschwachstelle nur zu nutzen, um auf die SharePoint-API zuzugreifen, und dann eine Post-Auth RCE-Kette durch diese API zu identifizieren.
Der Fehler CVE-2023-29357 betrifft hauptsächlich die Softwareversion SharePoint Server 2019, die sofortige Aufmerksamkeit von Organisationen und einzelnen Nutzern erfordert, die relevante Instanzen nutzen, um eine potenzielle Kompromittierung zu verhindern. Um die Bedrohung zu mindern, empfiehlt Microsoft die Installation aller sicherheitsrelevanten Updates, die für die verwendete 2019-Softwareversion relevant sind. Zusätzlich zum Patchen kann eine weitere Minderungmaßnahme das Aktivieren der AMSI-Integrationsfunktionalität und der Einsatz von Microsoft Defender über SharePoint Server-Instanzen hinweg sein.
Die öffentliche Verfügbarkeit des CVE-2023-29357 PoC-Exploit kann zu zunehmenden Risiken von Schwachstellenausnutzungen in freier Wildbahn führen. Verlassen Sie sich auf SOC Prime, um als Erster über die neuesten CVEs informiert zu werden, maßgeschneiderte Informationen zu erkunden und die gesamte Sammlung von relevante Sigma-Regeln.
