Kavram kanıtı, Microsoft SharePoint sunucusundaki kritik bir kimlik doğrulama baypas güvenlik açığı için GitHub'da sömürü kodu ortaya çıktı ve ayrıcalık artışına izin verdi.
CVE-2023-29357 olarak izlenen güvenlik kusuru, kullanıcı etkileşimi gerektirmeyen düşük karmaşık saldırılarda başarılı bir şekilde sömürülmesinin ardından kimlik doğrulanmamış saldırganların yönetici ayrıcalıkları kazanmasına izin verebilir.
Microsoft, güvenilirliği yamaladığında Haziran ayında açıkladı, "Sahtekâr JWT kimlik doğrulama jetonlarına erişim kazanan bir saldırgan, bunları, kimlik doğrulamasını atlayan ve kimlik doğrulamalı bir kullanıcının ayrıcalıklarına erişmelerine izin veren bir ağ saldırısı yürütmek için kullanabilir."
"Bu güvenlik açığını başarıyla kullanan bir saldırgan yönetici ayrıcalıkları kazanabilir. Saldırganın ayrıcalıklara ihtiyacı yoktur ve kullanıcının herhangi bir işlem yapması gerekmez."
25 Eylül'de Star Labs araştırmacısı Nguyễn Tiến Giang (Janggggg), bir güvenlik açıkları zinciri için sömürü sürecini açıklayan bir teknik analiz yayınladı.
Bunlar arasında CVE-2023-29357 hatası ve komut enjeksiyonu yoluyla uzaktan kod yürütülmesini kolaylaştıran CVE-2023-24955 olarak tanımlanan ikinci bir kritik kusur bulunmaktadır.
Janggggg, Vancouver'daki Mart 2023 PWN2own yarışmasında bu istismar zincirini kullanarak bir Microsoft SharePoint sunucusunda RCE'yi başarıyla başardı ve 100.000 dolarlık bir ödül kazandı.
Teknik analizden bir gün sonra, GitHub'da CVE-2023-29357 ayrıcalık artış kırılganlığı için bir kavram kanıtı istismarı.
Bu istismar, PWN2OWN Vancouver'da gösterilen tüm istismar zincirini kapsamadığı için saldırganlara uzak kod yürütme vermese de, yazar saldırganların potansiyel olarak bu hedefe ulaşmak için CVE-2023-24955 komut enjeksiyon hatasıyla birleştirebileceğini açıklıyor.
"Komut dosyası, yüksek ayrıcalıklara sahip yönetici kullanıcılarının ayrıntılarını çıkarır ve hem tek hem de kitle istismar modlarında çalışabilir."
"Bununla birlikte, etik bir duruş sürdürmek için, bu senaryo RCE gerçekleştirme işlevleri içermez ve yalnızca eğitim amaçlı ve yasal ve yetkili testler içindir."
Ağ savunucularının CVE-2023-29357 POC istismarını kullanarak SharePoint sunucularında potansiyel sömürü belirtileri için günlükleri analiz etmelerine yardımcı olmak için bir Yara kuralı da mevcuttur.
Mevcut istismarın derhal uzaktan kumanda yürütme yetenekleri verilmemesine rağmen, bu yılın başlarında Microsoft tarafından verilen güvenlik yamalarının potansiyel saldırılara karşı önleyici bir önlem olarak uygulanması şiddetle tavsiye edilir.
Artık Janggggg her iki kusur için teknik ayrıntılar yayınladığına göre, tehdit aktörlerinin veya diğer güvenlik araştırmacılarının tam istismar zincirini tam uzaktan kod yürütme elde etmek için yeniden üretmesi sadece bir zaman meselesidir.
Saldırılarda sıfır gün olarak istismar edilen Ivanti nöbetçi böcek için serbest bırakılan istismar
Yeni gizli teknikler, bilgisayar korsanlarının Windows Sistemi ayrıcalıkları kazanmasına izin verir
Saldırılarda sömürülen kritik WS_FTP Bug için kullanılabilir istismar
Sahte Winrar Konsept Kanıtı İstismar Drops Venomrat kötü amaçlı yazılım
Windows 11 '' Temalar 'RCE Hatası Gett-Concept Sustay
Kaynak: Bleeping Computer