Detección de CVE-2023-29357: La Explotación de Vulnerabilidad de Elevación de Privilegios en Microsoft SharePoint Server Puede Conducir a una Cadena de RCE Pre-Auth
Tabla de contenidos:
Los actores de amenazas frecuentemente ponen su mirada en los productos de Microsoft SharePoint Server al aprovechar un conjunto de vulnerabilidades de RCE, como CVE-2022-29108 and CVE-2022-26923. A principios del verano de 2023, Microsoft emitió un parche para la vulnerabilidad recientemente descubierta de elevación de privilegios en SharePoint Server conocida como CVE-2023-29357 y considerada crítica. Con el exploit PoC CVE-2023-29357 recientemente publicado, los atacantes pueden obtener privilegios a nivel de administrador sin autenticación previa en las instancias de SharePoint Server comprometidas. Encadenar CVE-2023-29357 con otra vulnerabilidad rastreada como CVE-2023-24955 puede plantear una amenaza aún más seria para los usuarios comprometidos, permitiendo a los atacantes obtener RCE pre-autenticado en el sistema objetivo.
Detectar Intentos de Explotación de CVE-2023-29357
La detección proactiva de la explotación de vulnerabilidades sigue siendo uno de los casos de uso más importantes en ciberseguridad debido a un número constantemente creciente de CVEs dentro de las soluciones de software populares. Armadas para ataques en el mundo real, las vulnerabilidades suponen una amenaza significativa para los defensores cibernéticos, exponiendo la infraestructura organizacional al riesgo de una violación de datos. Para acelerar la eficiencia del SOC y ayudar a los equipos de seguridad a abordar las fallas existentes a tiempo, SOC Prime ofrece un conjunto de herramientas avanzadas destinadas a la búsqueda de explotación de vulnerabilidades junto con contenido de detección curado para detectar amenazas emergentes a tiempo.
Con la creciente amenaza de la posible explotación de CVE-2023-29357 en el mundo real, los defensores cibernéticos buscan formas de defender sus instancias de SharePoint Server contra intrusiones maliciosas. El equipo de SOC Prime lanzó recientemente una nueva regla Sigma basada en el código del exploit PoC disponible públicamente. El algoritmo de detección identifica posibles intentos de explotación de CVE-2023-29357, que pueden ser parte de la cadena de RCE pre-autenticado de SharePoint Server. Sigue el enlace a continuación para acceder de inmediato a la detección relevante disponible en el extenso feed de reglas del Threat Detection Marketplace:
Esta regla Sigma se puede utilizar en 18 soluciones de seguridad nativas en la nube y locales y está alineada con el marco MITRE ATT&CK® v12 abordando la táctica de Movimiento Lateral junto con la técnica de Explotación de Servicios Remotos (T1210).
Los ingenieros de seguridad también pueden aprovechar las siguientes reglas Sigma para detectar más amenazas que pueden comprometer los dispositivos de SharePoint Server y asegurar que su sistema esté completamente protegido contra intrusiones de adversarios. Presiona el botón Explorar Detecciones para profundizar en la lista de reglas Sigma relevantes y CTI vinculadas a ellas.
Análisis de CVE-2023-29357
A mediados de junio de 2023, Microsoft emitió un parche para abordar una crítica vulnerabilidad CVE-2023-29357 en Microsoft SharePoint Server, con un puntaje CVSS de 9.8. Una vez explotada, esta falla de seguridad permite a los adversarios obtener privilegios a nivel de administrador sin necesidad de autenticación previa. Los intentos de explotación de esta vulnerabilidad de elevación de privilegios permiten imitar los tokens de autenticación JWT para lanzar posteriormente un ataque de red, eludir los procedimientos de autenticación y obtener acceso a los privilegios de un usuario autenticado.
Con el código del exploit PoC recientemente publicado en GitHub, CVE-2023-29357 se está convirtiendo en el centro de atención en el dominio de amenazas cibernéticas. Si bien el script de explotación se centra principalmente en la elevación de privilegios, los adversarios también pueden aprovechar otra falla de SharePoint Server conocida como CVE-2023–24955, llevando a una cadena de explotación de RCE y, como resultado, a un compromiso completo del sistema. Desde una perspectiva más amplia, el script de explotación de GitHub permite la suplantación de usuarios autenticados, lo que permite a los atacantes ejecutar código arbitrario disfrazado como la aplicación de SharePoint, lo que potencialmente lleva a un ataque de DoS. Además, el código del exploit PoC revela usuarios admin con privilegios elevados, con la capacidad de operar tanto en modos de explotación individual como masiva.
Un investigador de ciberseguridad de StarLabs, Nguyễn Tiến Giang, proporcionó un análisis en profundidad de una compleja cadena de explotación pre-autenticación diseñada para atacar productos de SharePoint Server que involucran las dos fallas de seguridad RCE mencionadas anteriormente. Según su investigación, el desafío clave reside en usar la vulnerabilidad de omisión de autenticación para acceder solo a la API de SharePoint y luego identificar una cadena de RCE post-autenticación a través de esta API.
La falla CVE-2023-29357 impacta principalmente la versión de software SharePoint Server 2019, que requiere atención inmediata de las organizaciones y usuarios individuales que utilizan instancias relevantes para prevenir el compromiso potencial. Para mitigar la amenaza, Microsoft recomienda la instalación de todas las actualizaciones de seguridad relevantes para la versión de software 2019 en uso. Además del parcheo, otra medida de mitigación puede ser habilitar la funcionalidad de integración AMSI y utilizar Microsoft Defender en las instancias de SharePoint Server.
La disponibilidad pública del exploit PoC de CVE-2023-29357 puede llevar a un creciente riesgo de explotación de vulnerabilidades en el mundo real. Confía en SOC Prime para ser el primero en conocer los CVEs más recientes, explorar inteligencia a medida y toda la colección de relevantes reglas Sigma.
