I ricercatori di sicurezza hanno identificato due vulnerabilità critiche in Microsoft SharePoint Server e sviluppato un exploit che consente l’esecuzione remota del codice.
Si tratta del CVE-2023-29357 (CVSS 9.8), è una vulnerabilità di privilege escalation su SharePoint Server 2019. Microsoft ha rilasciato una patch per risolverla a giugno. La falla consente a un utente malintenzionato di aggirare i meccanismi di autenticazione e ottenere privilegi elevati senza l’interazione dell’utente.
Analogamente, il CVE-2023-24955 (CVSS 7.3) è correlato all’esecuzione del codice in modalità remota. Microsoft lo ha risolto questo bug a maggio. La vulnerabilità interessa SharePoint Server 2019, 2016 e SharePoint Server Subscription Edition.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Entrambi i problemi sono considerati critici. Secondo la piattaforma Censys sono potenzialmente a rischio più di 100.000 server SharePoint accessibili su Internet.
I ricercatori di StarLabs hanno pubblicato i dettagli dell’exploit, dimostrando esattamente come i difetti scoperti possano essere utilizzati per eseguire codice da remoto senza autenticazione.
E possibile eseguire l’exploit creando un token JWT falso. Utilizzando l’algoritmo di firma si può generare un identificatore che simula i diritti di amministratore. È importante notare che questo algoritmo consente di modificare il token senza essere rilevato poiché non richiede una firma digitale. Una chiave falsa invece consente l’avvio del software sul server utilizzando la vulnerabilità CVE-2023-24955.
Valentin Lobshtein, uno specialista indipendente della Oteria Cyber School, ha pubblicato su GitHub un codice proof-of-concept che dimostra lo sfruttamento di CVE-2023-29357. Questo codice mostra come un utente malintenzionato può fingere di essere un utente legittimo e ottenere privilegi elevati su sistemi SharePoint senza patch.
In un’intervista a Dark Reading, Lobstein ha spiegato che tali attacchi possono portare a gravi conseguenze: dalla perdita di dati riservati al Denial of Service (DoS).
Ha anche menzionato un altro exploit presentato dal team della VNPT Information Technology Company.
Microsoft non ha ancora commentato. Tuttavia, la società in precedenza consigliava di abilitare l’integrazione AMSI su SharePoint e di utilizzare Microsoft Defender come precauzione contro CVE-2023-29357.
SOCRadar ha osservato in un post sul blog: “È importante che le organizzazioni che utilizzano SharePoint Server, in particolare la versione 2019, agiscano il prima possibile. Dalla pubblicazione dell’exploit, i rischi derivanti dal suo utilizzo da parte degli aggressori sono aumentati in modo significativo.”
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cultura
Cybercrime
Cybercrime
Cultura
Cybercrime