Detecção CVE-2023-29357: Exploração de Vulnerabilidade de Elevação de Privilégio no Microsoft SharePoint Server Pode Levar a Encadeamento de RCE Pré-Autenticação
Índice:
Os agentes de ameaça frequentemente almejam produtos Microsoft SharePoint Server ao utilizar um conjunto de vulnerabilidades RCE, como CVE-2022-29108 and CVE-2022-26923. No início do verão de 2023, a Microsoft lançou um patch para a recém-descoberta vulnerabilidade de elevação de privilégio do SharePoint Server, conhecida como CVE-2023-29357 e considerada crítica. Com o PoC do CVE-2023-29357 recentemente lançado, os atacantes podem obter privilégios de administrador sem autenticação prévia nas instâncias comprometidas do SharePoint Server. Encadear o CVE-2023-29357 com outra vulnerabilidade rastreada como CVE-2023-24955 pode representar uma ameaça ainda mais séria para usuários comprometidos, permitindo que os atacantes obtenham RCE pré-autenticação no sistema alvo.
Detectar Tentativas de Exploração do CVE-2023-29357
A detecção proativa da exploração de vulnerabilidades permanece um dos principais casos de uso da cibersegurança devido ao número constantemente crescente de CVEs dentro de soluções de software populares. Usadas em ataques que ocorrem na natureza, as vulnerabilidades representam uma ameaça significativa para os defensores cibernéticos, expondo a infraestrutura organizacional ao risco de uma violação de dados. Para acelerar a eficiência do SOC e ajudar as equipes de segurança a corrigirem falhas existentes a tempo, a SOC Prime fornece um conjunto de ferramentas avançadas voltadas para a caça à exploração de vulnerabilidades, juntamente com conteúdo de detecção curado para detectar ameaças emergentes a tempo.
Com a crescente ameaça de possível exploração do CVE-2023-29357 em campo, os defensores cibernéticos estão buscando maneiras de defender suas instâncias do SharePoint Server contra intrusões maliciosas. A equipe da SOC Prime lançou recentemente uma nova regra Sigma baseada no código PoC disponível publicamente. O algoritmo de detecção identifica possíveis tentativas de exploração do CVE-2023-29357, que podem ser parte da cadeia de RCE pré-autenticação do SharePoint Server. Siga o link abaixo para acessar instantaneamente a detecção relevante disponível no feed extenso de regras do Threat Detection Marketplace:
Esta regra Sigma pode ser usada em 18 soluções de segurança nativas da nuvem e no local e está alinhada com o modelo MITRE ATT&CK® v12 abordando a tática de Movimento Lateral juntamente com a técnica de Exploração de Serviços Remotos (T1210).
Os engenheiros de segurança também podem aproveitar as seguintes regras Sigma para detectar mais ameaças que podem comprometer os dispositivos SharePoint Server e garantir que seu sistema esteja totalmente protegido contra intrusões adversárias. Pressione o Explorar Detecções botão para detalhar a lista de regras Sigma relevantes e CTI vinculadas a elas.
Análise do CVE-2023-29357
Em meados de junho de 2023, a Microsoft emitiu um patch para resolver uma crítica vulnerabilidade CVE-2023-29357 no Microsoft SharePoint Server, com pontuação CVSS de 9.8. Uma vez explorada, essa falha de segurança permite que adversários obtenham privilégios de administrador sem necessidade de autenticação prévia. As tentativas de exploração desta vulnerabilidade de elevação de privilégio permitem imitar tokens de autenticação JWT para lançar um ataque à rede, contornar procedimentos de autenticação e obter acesso aos privilégios de um usuário autenticado.
Com o código PoC exploit recentemente publicado no GitHub, o CVE-2023-29357 está se destacando no domínio das ameaças cibernéticas. Enquanto o script de exploit está principalmente focado na elevação de privilégio, os adversários também podem aproveitar outra falha do SharePoint Server conhecida como CVE-2023–24955, levando a uma cadeia de exploração RCE e, como resultado, a um comprometimento total do sistema. De uma perspectiva mais ampla, o script de exploit do GitHub permite a personificação de usuários autenticados, permitindo que atacantes executem código arbitrário disfarçado como a aplicação do SharePoint, potencialmente levando a um ataque DoS. Além disso, o código PoC exploit revela usuários admin com privilégios elevados, com a capacidade de operar tanto em modos de exploit único quanto em massa.
Um pesquisador de cibersegurança da StarLabs, Nguyễn Tiến Giang, forneceu uma análise aprofundada de uma complexa cadeia de exploração pré-autenticação projetada para visar produtos SharePoint Server envolvendo as duas falhas de segurança RCE mencionadas acima. De acordo com sua pesquisa, o principal desafio está em usar a vulnerabilidade de bypass de autenticação para acessar apenas a API do SharePoint e então identificar uma cadeia de RCE pós-autenticação através dessa API.
A falha CVE-2023-29357 impacta principalmente a versão de software SharePoint Server 2019, que requer atenção imediata de organizações e usuários individuais que usam instâncias relevantes para evitar o possível comprometimento. Para mitigar a ameaça, a Microsoft recomenda a instalação de todas as atualizações de segurança relevantes para a versão de software 2019 em uso. Além da correção, outra medida de mitigação pode ser habilitar a funcionalidade de integração AMSI e aproveitar o Microsoft Defender nas instâncias SharePoint Server.
A disponibilidade pública do PoC exploit CVE-2023-29357 pode levar ao aumento dos riscos de exploração de vulnerabilidades no campo. Confie na SOC Prime para ser o primeiro a saber sobre os últimos CVEs, explorar inteligência personalizada e toda a coleção de regras Sigma relevantes.
