Rilevazione CVE-2023-29357: sfruttamento della vulnerabilità di elevazione dei privilegi di Microsoft SharePoint Server può portare a catena RCE pre-autenticazione
Indice:
I threat actor spesso prendono di mira i prodotti Microsoft SharePoint Server sfruttando un insieme di vulnerabilità RCE, come CVE-2022-29108 and CVE-2022-26923. All’inizio dell’estate del 2023, Microsoft ha rilasciato una patch per la vulnerabilità di elevazione dei privilegi di SharePoint Server recentemente scoperta e conosciuta come CVE-2023-29357, considerata critica. Con il rilascio recente del PoC exploit di CVE-2023-29357, gli aggressori possono ottenere privilegi a livello di amministratore senza previa autenticazione nelle istanze di SharePoint Server compromesse. Collegare CVE-2023-29357 con un’altra vulnerabilità tracciata come CVE-2023-24955 può rappresentare una minaccia ancora più grave per gli utenti compromessi, permettendo agli aggressori di ottenere RCE pre-autenticazione sul sistema di destinazione.
Rileva i Tentativi di Sfruttamento di CVE-2023-29357
Il rilevamento proattivo dello sfruttamento delle vulnerabilità rimane uno dei casi d’uso principali della cybersecurity a causa del numero in costante aumento di CVE all’interno di soluzioni software popolari. Sfruttate per attacchi in-the-wild, le vulnerabilità rappresentano una minaccia significativa per i difensori informatici, esponendo l’infrastruttura organizzativa al rischio di una violazione dei dati. Per accelerare l’efficienza del SOC e aiutare i team di sicurezza a risolvere i difetti esistenti in tempo, SOC Prime fornisce un insieme di strumenti avanzati volti alla caccia allo sfruttamento delle vulnerabilità insieme a contenuti di rilevamento curati per rilevare le minacce emergenti in tempo.
Con l’escalation della minaccia di potenziale sfruttamento di CVE-2023-29357 nel panorama attuale, i difensori informatici stanno cercando modi per difendere le loro istanze di SharePoint Server da intrusioni malevole. Il Team di SOC Prime ha recentemente rilasciato una nuova regola Sigma basata sul codice exploit PoC disponibile pubblicamente. L’algoritmo di rilevamento identifica potenziali tentativi di sfruttamento di CVE-2023-29357, che possono fare parte della catena RCE pre-autenticazione di SharePoint Server. Segui il link sottostante per accedere immediatamente al rilevamento pertinente disponibile nell’ampio feed di regole del Threat Detection Marketplace:
Questa regola Sigma può essere utilizzata su 18 soluzioni di sicurezza native nel cloud e on-prem ed è allineata con il framework MITRE ATT&CK® v12 affrontando la tattica del Movimento Laterale insieme alla tecnica Exploitation of Remote Services (T1210).
Gli ingegneri della sicurezza possono anche trarre vantaggio dalle seguenti regole Sigma per rilevare più minacce che possono compromettere i dispositivi di SharePoint Server e garantire che il loro sistema sia completamente protetto da intrusioni avversarie. Premi il Esplora i Rilevamenti pulsante per approfondire l’elenco delle regole Sigma pertinenti e CTI ad esse collegate.
Analisi di CVE-2023-29357
A metà giugno 2023, Microsoft ha rilasciato una patch per affrontare una vulnerabilità critica CVE-2023-29357 in Microsoft SharePoint Server, con un punteggio CVSS di 9.8. Una volta sfruttata, questa falla di sicurezza consente agli avversari di ottenere privilegi a livello di amministratore senza la necessità di previa autenticazione. I tentativi di sfruttamento di questa vulnerabilità di elevazione dei privilegi permettono di imitare i token di autenticazione JWT per lanciare ulteriormente un attacco alla rete, bypassando le procedure di autenticazione e ottenendo accesso ai privilegi di un utente autenticato.
Con il codice exploit PoC recentemente pubblicato su GitHub, CVE-2023-29357 sta ottenendo attenzione nel dominio delle minacce informatiche. Mentre lo script dell’exploit è principalmente incentrato sull’ elevazione dei privilegi, gli avversari possono anche trarre vantaggio da un altro difetto di SharePoint Server noto come CVE-2023–24955, portando a una catena di exploit RCE e, di conseguenza, al completo compromissione del sistema. Da una prospettiva più ampia, lo script exploit GitHub consente l’impostazione di utenti autenticati permettendo agli aggressori di eseguire codice arbitrario mascherato come applicazione SharePoint, potenzialmente portando a un attacco DoS. Inoltre, il codice exploit PoC rivela utenti amministratori con privilegi elevati, con la capacità di operare in modalità exploit singola e di massa.
Un ricercatore di cybersecurity di StarLabs, Nguyễn Tiến Giang, ha fornito un’analisi approfondita di una complessa catena di exploit pre-autenticazione progettata per prendere di mira i prodotti SharePoint Server coinvolgendo i due difetti di sicurezza RCE sopra menzionati. Secondo la sua ricerca, la sfida principale risiede nell’utilizzo della vulnerabilità di bypass dell’autenticazione per accedere solo all’API SharePoint e quindi identificare una catena RCE post-autenticazione attraverso questa API.
Il difetto CVE-2023-29357 impatta principalmente la versione software di SharePoint Server 2019, che richiede immediata attenzione da parte delle organizzazioni e degli utenti individuali che utilizzano le istanze pertinenti per prevenire il potenziale compromissione. Per mitigare la minaccia, Microsoft raccomanda l’installazione di tutti gli aggiornamenti di sicurezza pertinenti alla versione software 2019 in uso. In aggiunta al patching, un’altra misura di mitigazione può essere l’attivazione della funzionalità di integrazione AMSI e l’utilizzo di Microsoft Defender su tutte le istanze di SharePoint Server.
La disponibilità pubblica del exploit PoC CVE-2023-29357 può portare a rischi crescenti di sfruttamento delle vulnerabilità in-the-wild. Affidati a SOC Prime per essere il primo a sapere sui CVE più recenti, esplora l’intelligence su misura e l’intera raccolta di regole Sigma pertinenti.
