Sono 100.000 i server vulnerabili all’exploit RCE di Microsoft Sharepoint che circola in rete

I ricercatori di sicurezza hanno identificato due vulnerabilità critiche in Microsoft SharePoint Server e sviluppato un exploit che consente l’esecuzione remota del codice.

Si tratta del CVE-2023-29357 (CVSS 9.8), è una vulnerabilità di privilege escalation su SharePoint Server 2019. Microsoft ha rilasciato una patch per risolverla a giugno. La falla consente a un utente malintenzionato di aggirare i meccanismi di autenticazione e ottenere privilegi elevati senza l’interazione dell’utente.

Analogamente, il CVE-2023-24955 (CVSS 7.3) è correlato all’esecuzione del codice in modalità remota. Microsoft lo ha risolto questo bug a maggio. La vulnerabilità interessa SharePoint Server 2019, 2016 e SharePoint Server Subscription Edition.

Entrambi i problemi sono considerati critici. Secondo la piattaforma Censys sono potenzialmente a rischio più di 100.000 server SharePoint accessibili su Internet.

I ricercatori di StarLabs hanno pubblicato i dettagli dell’exploit, dimostrando esattamente come i difetti scoperti possano essere utilizzati per eseguire codice da remoto senza autenticazione.

E possibile eseguire l’exploit creando un token JWT falso. Utilizzando l’algoritmo di firma si può generare un identificatore che simula i diritti di amministratore. È importante notare che questo algoritmo consente di modificare il token senza essere rilevato poiché non richiede una firma digitale. Una chiave falsa invece consente l’avvio del software sul server utilizzando la vulnerabilità CVE-2023-24955.

Valentin Lobshtein, uno specialista indipendente della Oteria Cyber ​​​​School, ha pubblicato su GitHub un codice proof-of-concept che dimostra lo sfruttamento di CVE-2023-29357. Questo codice mostra come un utente malintenzionato può fingere di essere un utente legittimo e ottenere privilegi elevati su sistemi SharePoint senza patch.

In un’intervista a Dark Reading, Lobstein ha spiegato che tali attacchi possono portare a gravi conseguenze: dalla perdita di dati riservati al Denial of Service (DoS).

Ha anche menzionato un altro exploit presentato dal team della VNPT Information Technology Company.

Microsoft non ha ancora commentato. Tuttavia, la società in precedenza consigliava di abilitare l’integrazione AMSI su SharePoint e di utilizzare Microsoft Defender come precauzione contro CVE-2023-29357.

SOCRadar ha osservato in un post sul blog: “È importante che le organizzazioni che utilizzano SharePoint Server, in particolare la versione 2019, agiscano il prima possibile. Dalla pubblicazione dell’exploit, i rischi derivanti dal suo utilizzo da parte degli aggressori sono aumentati in modo significativo.”

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Manuel Roccon

Ho iniziato la mia carriera occuparmi nella ricerca e nell’implementazioni di soluzioni in campo ICT e nello sviluppo di applicazioni. Al fine di aggiungere aspetti di sicurezza in questi campi, da alcuni anni ho aggiunto competenze inerenti al ramo offensive security (OSCP), occupandomi anche di analisi di sicurezza e pentest in molte organizzazioni.

Aree di competenza: Ethical Hacking, Bug Hunting, Penetration Testing, Red Teaming, Security Research, Cybersecurity Communication