CVE-2023-29357 탐지: Microsoft SharePoint Server 권한 상승 취약점 악용으로 인해 사전 인증 RCE 체인으로 이어질 수 있음
목차:
위협 행위자들은 주로 RCE 취약점을 악용하여 Microsoft SharePoint Server 제품을 노린다. 예를 들어 CVE-2022-29108 and CVE-2022-26923등이 있다. 2023년 초여름, Microsoft는 CVE-2023-29357로 알려진 SharePoint Server 권한 상승 취약점에 대한 패치를 제공했으며, 이는 심각한 것으로 간주된다. 최근 공개된 CVE-2023-29357 PoC 익스플로잇을 통해, 공격자는 손상된 SharePoint Server 인스턴스에서 사전 인증 없이 관리자 수준의 권한을 얻을 수 있다. CVE-2023-29357을 CVE-2023-24955로 추적된 다른 취약점과 연계할 경우 사전 인증 RCE를 통해 공격자가 손상된 사용자에게 더 심각한 위협을 가할 수 있다.
CVE-2023-29357 익스플로잇 시도 탐지
취약점 익스플로잇의 사전 탐지는 인기 있는 소프트웨어 솔루션 내에서 급증하는 CVE 수로 인해 주요 사이버 보안 사용 사례 중 하나로 남아 있다. 공격에 악용되는 취약점은 사이버 방어자들에게 상당한 위협을 가하여 조직 인프라를 데이터 유출 위험에 노출시킨다. SOC Prime은 SOC 효율성을 가속화하고 보안 팀이 시간 내 기존 결함을 해결할 수 있도록 고급 도구 세트를 제공하여 취약점 익스플로잇을 검색하고 새로운 위협을 시기 적절하게 탐지할 수 있도록 하는 규범화된 탐지 콘텐츠를 제공한다.
현실에서 CVE-2023-29357의 잠재적 악용 위협이 증가함에 따라, 사이버 방어자들은 악성 침입으로부터 SharePoint Server 인스턴스를 방어할 방법을 모색 중이다. SOC Prime 팀은 공개된 PoC 익스플로잇 코드를 기반으로 한 새로운 Sigma 규칙을 최근 발표했다. 이 탐지 알고리즘은 사전 인증 SharePoint Server RCE 체인의 일부일 수 있는 CVE-2023-29357 익스플로잇 시도를 식별한다. 아래 링크를 따라 가면 Threat Detection Marketplace의 광범위한 규칙 피드에서 사용할 수 있는 관련 탐지에 즉시 접근할 수 있다.
가능한 CVE-2023-29357 (Microsoft SharePoint Server 권한 상승) 익스플로잇 시도 (프록시 경유)
이 Sigma 규칙은 18개 클라우드 네이티브 및 온프렘 보안 솔루션에서 사용할 수 있으며, MITRE ATT&CK® 프레임워크 v12 의 Lateral Movement 전술과 원격 서비스의 악용 기법(T1210)을 다룬다.
보안 엔지니어는 SharePoint Server 디바이스를 손상시킬 수 있는 더 많은 위협을 탐지하고 시스템을 적의 침입으로부터 완전히 보호하기 위해 다음 Sigma 규칙을 활용할 수 있다. 다음 탐지 탐색 버튼을 눌러 관련된 Sigma 규칙 목록과 CTI로 드릴다운 할 수 있다.
CVE-2023-29357 분석
2023년 6월 중순, Microsoft는 주요 CVE-2023-29357 취약점을 해결하기 위해 패치를 발행했고, 이는 Microsoft SharePoint Server에 CVSS 점수 9.8을 가지고 있다. 악용될 경우, 이 보안 결함은 적들이 사전 인증 없이 관리 수준의 권한을 얻을 수 있게 한다. 권한 상승 취약점의 익스플로잇 시도는 JWT 인증 토큰을 모방하여 네트워크 공격을 이어가고, 인증 절차를 우회하며, 인증된 사용자의 권한에 접근할 수 있도록 한다.
PoC 익스플로잇 코드가 최근 GitHub에 공개되어, CVE-2023-29357가 사이버 위협 도메인에서 주목받고 있다. 이 익스플로잇 스크립트는 주로 권한 상승에 집중하고 있지만, 적들은 CVE-2023–24955로 알려진 다른 SharePoint Server 결함을 활용하여 RCE 익스플로잇 체인을 이끌어내고, 그 결과로 전체 시스템을 손상시킬 수 있다. 더 넓은 관점에서, GitHub 익스플로잇 스크립트는 인증된 사용자를 모방하여 적들이 SharePoint 애플리케이션으로 가장하여 임의의 코드를 실행할 수 있게 하며, 이는 잠재적으로 DoS 공격으로 이어질 수 있다. 또한, PoC 익스플로잇 코드는 권한이 상승된 관리자 사용자를 드러내며, 단일 및 대량 익스플로잇 모드 모두에서 작동할 수 있다. CVE-2023–24955, leading to an RCE exploit chain and as a result, a full system compromise. From a broader perspective, the GitHub exploit script enables the impersonation of authenticated users allowing attackers to run arbitrary code disguised as the SharePoint application, potentially leading to a DoS attack. In addition, the PoC exploit code reveals admin users with elevated privileges, with the ability to operate in both single and mass exploit modes.
StarLabs의 사이버 보안 연구원 Nguyễn Tiến Giang은 위에서 언급한 두 가지 RCE 보안 결함을 포함하여 SharePoint Server 제품을 노린 복잡한 사전 인증 익스플로잇 체인에 대한 심층 분석 을 제공했다. 그의 연구에 따르면, 핵심 도전 과제는 인증 우회 취약점을 사용하여 SharePoint API만 접근한 후, 이 API를 통해 포스트 인증 RCE 체인을 식별하는 것이다.
CVE-2023-29357 결함은 주로 SharePoint Server 2019 소프트웨어 버전에 영향을 미치며, 관련 인스턴스를 사용하는 조직과 개인 사용자가 즉각적인 주의를 기울여야 한다. 위협을 완화하기 위해 Microsoft는 사용 중인 2019 소프트웨어 버전에 관련된 모든 보안 업데이트를 설치할 것을 권장한다. 패치 외에 또 다른 완화 조치는 AMSI 통합 기능을 활성화하고 SharePoint Server 인스턴스 전반에 Microsoft Defender를 활용하는 것이다.
CVE-2023-29357 PoC 익스플로잇의 공개 가용성은 현실 세계에서 취약점 익스플로잇의 증가하는 위험으로 이어질 수 있다. 최신 CVE에 대한 정보를 가장 먼저 얻고, 맞춤형 인텔리전스를 탐색하며, 관련 Sigma 규칙 전체 컬렉션을 SOC Prime에 의존한다..
