CISA đưa ra cảnh báo về tình trạng leo thang của những kẻ tấn công hiện đang khai thác lỗ hổng nghiêm trọng của Microsoft SharePoint, lỗ hổng này có thể bị liên kết với một lỗi nghiêm trọng khác trong việc thực thi mã từ xa.
CVE-2023-29357 là lỗ hổng bảo mật cho phép kẻ tấn công từ xa có được đặc quyền quản trị viên trên các máy chủ chưa được vá, phá vỡ xác thực bằng cách sử dụng mã thông báo xác thực JWT giả mạo.
Microsoft giải thích:
“Kẻ tấn công đã giành được quyền truy cập vào mã thông báo xác thực JWT giả mạo, có thể sử dụng chúng để thực hiện một cuộc tấn công mạng bỏ qua xác thực và cho phép chúng có quyền truy cập vào các đặc quyền của người dùng đã được xác thực”.
“Kẻ tấn công khai thác thành công lỗ hổng này có thể có được đặc quyền của quản trị viên. Kẻ tấn công không cần đặc quyền cũng như người dùng không cần thực hiện bất kỳ hành động nào.”
Những kẻ tấn công từ xa cũng có thể thực thi mã tùy ý trên các máy chủ SharePoint bị xâm nhập thông qua việc chèn lệnh khi kết nối lỗ hổng này với lỗ hổng thực thi mã từ xa CVE-2023-24955 SharePoint Server.
Chuỗi khai thác Microsoft SharePoint Server này đã được nhà nghiên cứu Jang của STAR Labs demo thành công trong cuộc thi Pwn2Own vào tháng 3 năm 2023 tại Vancouver, kiếm được phần thưởng 100.000 USD.
Nhà nghiên cứu đã công bố một phân tích kỹ thuật vào ngày 25 tháng 9 mô tả chi tiết quá trình khai thác. Sau đó, một nhà nghiên cứu bảo mật khác cũng phát hành bản khai thác bằng chứng khái niệm CVE-2023-29357 trên GitHub.
Mặc dù việc khai thác không cho phép thực thi mã từ xa trên các hệ thống được nhắm mục tiêu, vì đây không phải là một khai thác hoàn chỉnh cho chuỗi được trình diễn tại Pwn2Own, nhưng tác giả của nó cho biết những kẻ tấn công có thể tự xâu chuỗi chuỗi đó bằng lỗi CVE-2023-24955 cho RCE.
Nhà phát triển khai thác PoC cho biết:
“Tập lệnh đưa ra thông tin chi tiết về người dùng quản trị viên với các đặc quyền nâng cao và có thể hoạt động ở cả chế độ khai thác đơn lẻ và khai thác hàng loạt. Tuy nhiên, để duy trì lập trường đạo đức, tập lệnh này không chứa các chức năng thực hiện RCE và chỉ nhằm mục đích giáo dục cũng như thử nghiệm hợp pháp và được ủy quyền.”
Kể từ đó, các hoạt động khai thác PoC khác cho chuỗi này đã xuất hiện trực tuyến, hạ thấp tiêu chuẩn khai thác và cho phép các tác nhân đe dọa có tay nghề thấp hơn triển khai nó trong các cuộc tấn công.
Mặc dù vẫn chưa cung cấp thêm thông tin chi tiết về hoạt động khai thác CVE-2023-29357, CISA đã thêm lỗ hổng này vào Danh mục các lỗ hổng bị khai thác đã biết và hiện yêu cầu các cơ quan liên bang Hoa Kỳ vá lỗ hổng này vào cuối tháng 1.