Exploit que aprovecha la falla de autenticación de Microsoft SharePoint Server CVE-2023-29357
Se ha publicado un código de explotación de prueba de concepto para una vulnerabilidad crítica de omisión de autenticación en Microsoft SharePoint Server, esto permite la escalada de privilegios.
La falla de seguridad puede permitir que atacantes no autenticados obtengan privilegios de administrador luego de una explotación exitosa en ataques de baja complejidad que no requieren la interacción del usuario, Registrada como CVE-2023-29357.
El investigador de Star Labs, Janggggg logro con éxito RCE en un servidor Microsoft SharePoint utilizando esta cadena de exploits durante el concurso Pwn2Own de marzo de 2023 en Vancouver, ganando una recompensa de $100 000.Aunque este exploit no permite a los atacantes la ejecución remota de código, ya que no cubre toda la cadena de exploits demostrada en Pwn2Own Vancouver, el autor aclara que los atacantes podrían combinarlo con el error de inyección de comandos CVE-2023-24955 para lograr este objetivo.
• Vulnerabilidad n.º 1: omisión de autenticación de aplicaciones de SharePoint - Un atacante remoto y no autenticado puede explotar la vulnerabilidad enviando un token de autenticación JSON Web Token (JWT) falsificado a un servidor vulnerable.• Vulnerabilidad n.º 2: inyección de código en DynamicProxyGenerator.GenerateProxyAssembly() - CVE-2023-24955 es una vulnerabilidad RCE que afecta a Microsoft SharePoint Server. A la vulnerabilidad se le asignó una puntuación CVSSv3 de 7,2 y podría permitir que un propietario de sitio autenticado ejecute código en un servidor SharePoint afectado. Este RCE fue parcheado como parte del lanzamiento del martes de parches de mayo de 2023.
También está disponible una regla YARA para ayudar a los defensores de la red a examinar los registros en busca de signos de posible explotación en sus servidores SharePoint utilizando el exploit PoC CVE-2023-29357. A pesar de que el exploit no proporciona capacidades inmediatas de ejecución remota de código, se recomienda encarecidamente aplicar los parches de seguridad lanzados por Microsoft a principios de este año para evitar posibles ataques.Versiones Afectadas
Versión 16.0.10396.20000
Recomendaciones
• Aplicar los parches lo antes posible. Si bien el PoC publicado actualmente no logra RCE de fábrica, es probable que los actores de amenazas puedan modificar el exploit y convertirlo en un arma para uso malicioso.
• Instalando los parches (KB5002358 y KB5002357).
Indicadores de Compromiso:
• A67631B0777A3481E3820297E2F8505D9443744955B5B41CF02292E1B24B85F1
• wssloc2019-kb5002403-fullfile-x64-glb.exe
• F4BA6CFE4701C5A84DA22A6420BAAB7251234A55A89352ED0E0396F26437FCF8
• fe8b6b7c3c86df0ee47a3cb04a68891fd5e91f3bfb13482112dd9042e8baebdf
• 3b56cea72e8140a7044336933cf382d98dd95c732e5937a0a61e0e729676
Domain
• qspjx67hi3heumrubqotn26cwimb6vjegiwgvrnpa6zefae2nqs6xqad.onion• http://p66slxmtum2ox4jpayco6ai3qfehd5urgrs4oximjzklxcol264driqd.onion/index.html
• https://torproject.org
• https://ufile.io/s9jwf4t2
• http://lyoevnzm3ewiq6jeyyuob2wfou7gh47yotuucsrwlf6ju3xrw43wacad.onion/page/Johns0nC0ntr0ls_34678nabi889s
• https://ufile.io/ld3f6nzk
FileHash-SHA256
• 3b56cea72e8140a7044336933cf382d98dd95c732e5937a0a61e0e7296762c7b
Referencias
https://www.bleepingcomputer.com/news/security/exploit-released-for-microsoft-sharepoint-server-auth-bypass-flaw/
https://socradar.io/microsoft-sharepoint-server-elevation-of-privilege-vulnerability-exploit-cve-2023-29357/
https://www.tenable.com/blog/cve-2023-29357-cve-2023-24955-exploit-chain-released-for-microsoft-sharepoint-server
