CVE-2023-29357 検出: Microsoft SharePoint Server 特権昇格脆弱性の悪用が認証前リモートコード実行チェーンにつながる可能性

脅威アクターは、RCE 脆弱性のセットを悪用して、Microsoft SharePoint Server 製品に頻繁に目を付けます。例えば、 CVE-2022-29108 and CVE-2022-26923です。2023年初夏、MicrosoftはCVE-2023-29357として知られ、重大と見なされる新たに発見されたSharePoint Serverの権限昇格の脆弱性に対するパッチを発行しました。最近リリースされたCVE-2023-29357のPoCエクスプロイトにより、攻撃者は事前認証なしで、侵害されたSharePoint Serverインスタンスで管理者レベルの権限を得ることが可能です。CVE-2023-29357をCVE-2023-24955として追跡される別の脆弱性と連鎖させることで、より深刻な脅威をもたらし、対象システムで事前認証RCEを有効にしたユーザーに対してさらに深刻な脅威を与える可能性があります。

CVE-2023-29357エクスプロイト試行を検出

脆弱性のエクスプロイトを事前に検出することは、人気のあるソフトウェア ソリューション内での CVE 数が常に増加しているため、サイバーセキュリティの重要なユースケースの 1 つです。実世界の攻撃のために武器化された脆弱性はサイバー防御者にとって重大な脅威となり、組織インフラをデータ漏えいのリスクにさらします。SOC の効率を加速し、セキュリティチームが既存の欠陥にタイムリーに対処するのを支援するために、SOC Prime は脆弱性のエクスプロイトをハンティングするための一連の高度なツールを提供し、新たな脅威をタイムリーに検出するためのキュレーションされた検出コンテンツを提供します。

CVE-2023-29357の野生での潜在的なエクスプロイトの脅威が高まる中、サイバー防御者は悪意のある侵入からSharePoint Serverインスタンスを守る方法を模索しています。SOC Primeチームは最近、公開されているPoCエクスプロイトコードに基づく新しいSigmaルールをリリースしました。この検出アルゴリズムは、事前認証SharePoint Server RCEチェーンの一部である可能性のあるCVE-2023-29357のエクスプロイト試行を特定します。以下のリンクをクリックして、脅威検出マーケットプレイスの広範なルールフィードで利用可能な関連検出にすぐにアクセスしてください。

CVE-2023-29357 (Microsoft SharePoint Server の権限昇格) のエクスプロイト試行 (プロキシ経由の可能性)

この Sigma ルールは、18 のクラウドネイティブおよびオンプレミスのセキュリティ ソリューション全体で使用でき、 MITRE ATT&CK® フレームワーク v12 の側面に合わせてLateral Movement戦術に対応し、Remote Services 技法 (T1210) のエクスプロイテーションを組み込みます。

セキュリティエンジニアは、以下のSigmaルールを活用することで、SharePoint Serverデバイスを侵害し得るさらなる脅威を特定し、敵対者の侵入からシステムを完全に保護することができます。「検出を探る」 をクリックして、関連するSigmaルールとそれにリンクされたCTIのリストに掘り下げてください。 button to drill down to the list of relevant Sigma rules and CTI linked to them. 

をクリックして、関連するSigmaルールとそれにリンクされたCTIのリストに掘り下げてください。

CVE-2023-29357の分析

2023年6月中旬に、Microsoftは重大な CVE-2023-29357 vulnerability in Microsoft SharePoint Server の脆弱性に対するパッチを発行しました。この脆弱性はCVSSスコア9.8を持ちます。このセキュリティ欠陥を悪用されると、事前認証なしに管理者レベルの権限を得ることができます。この権限昇格の脆弱性のエクスプロイト試行により、JWT認証トークンを模倣し、ネットワーク攻撃をさらに開始し、認証手続をバイパスし、認証済みユーザーの特権にアクセスすることが可能になります。

PoC エクスプロイトコードが最近 GitHubで公開され、CVE-2023-29357はサイバー脅威領域で注目を集めています。このエクスプロイトスクリプトは主に権限の昇格に焦点を当てていますが、攻撃者はSharePoint Serverのもう1つの欠陥である CVE-2023–24955を利用してRCEエクスプロイトチェーンを形成し、結果としてシステム全体を危機に晒すことができます。広い視野で見ると、GitHubのエクスプロイトスクリプトは認証済みユーザーのなりすましを可能にし、攻撃者がSharePointアプリケーションとして偽装した任意のコードを実行することを可能にし、潜在的にDoS攻撃を引き起こす可能性があります。さらに、PoCエクスプロイトコードは、単一および大量エクスプロイトモードの両方で操作できる管理者ユーザーを明らかにしています。

StarLabs のサイバーセキュリティ研究者である Nguyễn Tiến Giang 氏は、上記の 2 つの RCE セキュリティの欠陥を伴う、SharePoint Server製品を対象とした複雑な事前認証エクスプロイトチェーンの 詳細な分析 を提供しました。彼の調査によれば、主な課題は認証バイパスの脆弱性を利用してSharePoint APIにアクセスした後、このAPIを通じてポスト認証RCEチェーンを特定することにあります。

CVE-2023-29357欠陥は主にSharePoint Server 2019ソフトウェアバージョンに影響を与えるため、このバージョンを利用する組織や個人ユーザーは潜在的な妥協を防ぐために即時に対応する必要があります。脅威を軽減するために、Microsoftは使用中の2019ソフトウェアバージョンに関連する全てのセキュリティ更新プログラムをインストールすることを推奨しています。パッチ適用に加えて、AMSI統合機能の有効化およびSharePoint Serverインスタンス全体でMicrosoft Defenderを利用することも効果的な軽減策となります。

CVE-2023-29357 PoCエクスプロイトの公開により、現実世界での脆弱性エクスプロイトのリスクが高まる可能性があります。最新のCVEについて最初に知るためにSOC Primeに頼り、特別に調整されたインテリジェンスと 関連するSigmaルールの全コレクションを探索してください.