CISA, saldırganların artık uzaktan kod yürütülmesi için başka bir kritik hata ile zincirlenebilen kritik bir Microsoft SharePoint ayrıcalık artış kırılganlığından yararlandığı konusunda uyarıyor.
CVE-2023-29357 olarak izlenen güvenlik kusuru, uzaktan saldırganların sahte JWT auth belirteçlerini kullanarak kimlik doğrulamasını atlatarak satılmamış sunucularda yönetici ayrıcalıkları almasını sağlar.
Microsoft, "Sahtekâr JWT kimlik doğrulama jetonlarına erişen bir saldırgan, bunları kimlik doğrulamasını atlayan ve kimlik doğrulamalı bir kullanıcının ayrıcalıklarına erişmelerine izin veren bir ağ saldırısı yürütmek için kullanabilir."
"Bu güvenlik açığını başarıyla kullanan bir saldırgan yönetici ayrıcalıkları kazanabilir. Saldırganın ayrıcalıklara ihtiyacı yoktur ve kullanıcının herhangi bir işlem yapması gerekmez."
Uzak saldırganlar ayrıca CVE-2023-24955 SharePoint Sunucusu Uzak Kod Yürütme güvenlik açığı ile bu kusuru zincirlerken komut enjeksiyonu yoluyla tehlikeye atılan SharePoint sunucularında keyfi kod yürütebilir.
Bu Microsoft SharePoint Server istismar zinciri, geçen yılın Mart 2023 PWN2OWN yarışmasında Vancouver'daki 100.000 dolarlık bir ödül kazanarak Star Labs araştırmacısı Jang (Nguyễn Tiến Giang) tarafından başarıyla demodied edildi.
Araştırmacı, 25 Eylül'de sömürü sürecini ayrıntılı olarak açıklayan bir teknik analiz yayınladı.
Sadece bir gün sonra, bir güvenlik araştırmacısı GitHub'da bir CVE-2023-29357 kavram kanıtı istismarı da yayınladı.
İstismar, hedeflenen sistemlerde uzaktan kod yürütme vermese de, PWN2OWN'da demo edilen zincir için tam bir istismar olmadığından, yazarı saldırganların RCE için CVE-2023-24955 hatasıyla zincirleyebileceğini söyledi.
POC istismarının geliştiricisi, "Komut dosyası, yüksek ayrıcalıklara sahip yönetici kullanıcılarının ayrıntılarını çıkarıyor ve hem tek hem de kitle istismar modlarında çalışabilir."
"Bununla birlikte, etik bir duruş sürdürmek için, bu senaryo RCE gerçekleştirme işlevleri içermez ve yalnızca eğitim amaçlı ve yasal ve yetkili testler içindir."
O zamandan beri, bu zincir için diğer POC istismarları çevrimiçi olarak ortaya çıktı, sömürü çubuğunu düşürdü ve daha az vasıflı tehdit aktörlerinin bile saldırılara dağıtmasına izin verdi.
CVE-2023-29357 aktif sömürü hakkında henüz ek ayrıntılar sağlamamış olsa da, CISA, bilinen sömürülen güvenlik açıkları kataloğuna güvenlik açığını ekledi ve şimdi ABD federal ajanslarının 31 Ocak'ta ay sonuna kadar yamasını gerektiriyor.
Ivanti, şimdi kitlesel sömürü altında güvenli sıfır günleri bağlayın
Ivanti, saldırılarda sömürülen Connect Secure Zero-Days konusunda uyarıyor
Cisco, kritik birlik bağlantı hatasının saldırganların köklenmesine izin verdiğini söylüyor
Korunmasız Confluence Sunucuları Bulmak için RCE Kusurlu Apache Ofbiz Kusurlu
Ubisoft, yeni bir güvenlik ihlalinin raporlarını araştırdığını söylüyor
Kaynak: Bleeping Computer