Агентство кибербезопасности и безопасности инфраструктуры США (CISA) внесло в свой каталог известных эксплуатируемых уязвимостей (KEV) критический недостаток безопасности, затрагивающий Microsoft SharePoint Server. Это решение было принято на основании данных об активном использовании данной уязвимости, пишут в Securitylab.
Проблема, получившая обозначение CVE-2023-29357 с критическим рейтингом CVSS 9.8 баллов, представляет собой ошибку повышения привилегий, которая может быть использована злоумышленниками для получения прав администратора. Microsoft выпустила патч, устраняющий эту проблему, ещё в июне 2023 года, однако хакеры до сих пор активно используют её в атаках на уязвимые экземпляры SharePoint Server.
В ходе эксплуатации уязвимости злоумышленник, получивший доступ к поддельным JWT-токенам, может использовать их для осуществления сетевой атаки, обходя систему аутентификации и получая доступ к привилегиям аутентифицированного пользователя. Для этого злоумышленнику не требуются никакие права, а пользователю не нужно предпринимать никаких действий.
Цепочка удаленного выполнения кода сочетает в себе уязвимость обхода аутентификации (CVE-2023–29357) и инъекции кода (CVE-2023-24955 , CVSS 7.2). Последняя была устранена в мае 2023 года.
Специалист безопасности Нгуен Тьен Джанг из компании StarLabs SG отметил в своём техническом отчёте, опубликованном в сентябре 2023 года, что процесс обнаружения и разработки этой цепочки эксплуатации занял почти год усиленных исследований.