CVE-2023-29357 Détection : Exploitation de la Vulnérabilité d’Élévation de Privilèges sur Microsoft SharePoint Server Peut Mener à une Chaîne RCE Avant Authentification
Table des matières :
Les acteurs de la menace ciblent fréquemment les produits Microsoft SharePoint Server en exploitant un ensemble de vulnérabilités RCE, telles que CVE-2022-29108 and CVE-2022-26923. Au début de l’été 2023, Microsoft a publié un correctif pour la vulnérabilité d’élévation de privilèges nouvellement découverte sur SharePoint Server, connue sous le nom de CVE-2023-29357 et considérée comme critique. Avec la publication récente du PoC CVE-2023-29357, les attaquants peuvent obtenir des privilèges de niveau administrateur sans authentification préalable sur les instances de SharePoint Server compromises. En enchaînant CVE-2023-29357 avec une autre vulnérabilité suivie sous le code CVE-2023-24955, cela peut représenter une menace encore plus sérieuse pour les utilisateurs compromis, permettant aux attaquants d’obtenir un RCE pré-authentification sur le système ciblé.
Détecter les tentatives d’exploitation de CVE-2023-29357
La détection proactive de l’exploitation des vulnérabilités reste l’un des principaux cas d’utilisation en cybersécurité en raison d’un nombre constamment croissant de CVE dans les solutions logicielles populaires. Exploitées pour des attaques in-the-wild, les vulnérabilités représentent une menace significative pour les défenseurs cybernétiques, exposant l’infrastructure organisationnelle au risque d’une violation de données. Afin d’accélérer l’efficacité du SOC et d’aider les équipes de sécurité à traiter en temps voulu les failles existantes, SOC Prime fournit un ensemble d’outils avancés visant à chasser l’exploitation des vulnérabilités ainsi que du contenu de détection organisé pour détecter les menaces émergentes à temps.
Avec la menace croissante d’une exploitation potentielle de CVE-2023-29357 in the wild, les défenseurs cybernétiques recherchent des moyens de protéger leurs instances SharePoint Server contre les intrusions malveillantes. L’équipe SOC Prime a récemment publié une nouvelle règle Sigma basée sur le code exploit PoC disponible publiquement. L’algorithme de détection identifie les tentatives d’exploitation potentielles de CVE-2023-29357, qui peuvent faire partie de la chaîne RCE pré-authentification SharePoint Server. Suivez le lien ci-dessous pour accéder instantanément à la détection pertinente disponible dans le flux étendu de règles du Threat Detection Marketplace :
Cette règle Sigma peut être utilisée sur 18 solutions de sécurité natives cloud et on-prem et est alignée sur le cadre MITRE ATT&CK® v12 traitant de la tactique de déplacement latéral ainsi que de la technique d’exploitation de services à distance (T1210).
Les ingénieurs de sécurité peuvent également profiter des règles Sigma suivantes pour détecter davantage de menaces pouvant compromettre les appareils SharePoint Server et s’assurer que leur système est entièrement protégé contre les intrusions adverses. Appuyez sur le Explorer les détections bouton pour explorer la liste des règles Sigma pertinentes et des CTI qui y sont liées.
Analyse de CVE-2023-29357
À la mi-juin 2023, Microsoft a publié un correctif pour résoudre une CVE-2023-29357 vulnérabilité critique dans Microsoft SharePoint Server, possédant un score CVSS de 9,8. Une fois exploitée, cette faille de sécurité permet aux adversaires d’obtenir des privilèges de niveau administrateur sans besoin d’une authentification préalable. Les tentatives d’exploitation de cette vulnérabilité d’élévation de privilèges permettent de simuler des jetons d’authentification JWT afin de lancer une attaque sur le réseau, de contourner les procédures d’authentification et d’accéder aux privilèges d’un utilisateur authentifié.
Avec le code exploit PoC récemment publié sur GitHub, CVE-2023-29357 attire l’attention dans le domaine de la cybermenace. Bien que le script exploit soit principalement axé sur l’élévation de privilèges, les adversaires peuvent également profiter d’une autre faille SharePoint Server connue sous le nom de CVE-2023–24955, conduisant à une chaîne d’exploitation RCE et, par conséquent, à une compromission totale du système. Dans une perspective plus large, le script exploit GitHub permet l’usurpation des utilisateurs authentifiés permettant aux attaquants d’exécuter du code arbitraire déguisé en application SharePoint, pouvant potentiellement mener à une attaque DoS. De plus, le code exploit PoC révèle les utilisateurs admin avec des privilèges élevés, avec la capacité d’opérer en modes d’exploitation simple et massif.
Un chercheur en cybersécurité de StarLabs, Nguyễn Tiến Giang, a fourni une analyse approfondie d’une chaîne d’exploitation complexe de pré-authentification conçue pour cibler les produits SharePoint Server en impliquant les deux failles de sécurité RCE mentionnées ci-dessus. Selon ses recherches, le défi majeur réside dans l’utilisation de la vulnérabilité de contournement d’authentification pour accéder uniquement à l’API SharePoint, puis identifier une chaîne RCE post-authentification à travers cette API.
La faille CVE-2023-29357 impacte principalement la version logicielle SharePoint Server 2019, qui nécessite une attention immédiate de la part des organisations et des utilisateurs individuels utilisant les instances pertinentes pour prévenir la compromission potentielle. Pour atténuer la menace, Microsoft recommande l’installation de toutes les mises à jour de sécurité pertinentes pour la version logicielle 2019 en cours d’utilisation. En plus de la correction, une autre mesure d’atténuation peut consister à activer la fonctionnalité d’intégration AMSI et à utiliser Microsoft Defender sur les instances de SharePoint Server.
La disponibilité publique de l’exploit PoC CVE-2023-29357 peut conduire à des risques croissants d’exploitation de vulnérabilité in the wild. Comptez sur SOC Prime pour être parmi les premiers informés des derniers CVE, explorez une intelligence sur mesure et l’ensemble des règles Sigma pertinentes.
