Sono 100.000 i server vulnerabili all’exploit RCE di Microsoft Sharepoint che circola in rete

Redazione RHC : 29 Settembre 2023 08:26

I ricercatori di sicurezza hanno identificato due vulnerabilità critiche in Microsoft SharePoint Server e sviluppato un exploit che consente l’esecuzione remota del codice.

Si tratta del CVE-2023-29357 (CVSS 9.8), è una vulnerabilità di privilege escalation su SharePoint Server 2019. Microsoft ha rilasciato una patch per risolverla a giugno. La falla consente a un utente malintenzionato di aggirare i meccanismi di autenticazione e ottenere privilegi elevati senza l’interazione dell’utente.

Analogamente, il CVE-2023-24955 (CVSS 7.3) è correlato all’esecuzione del codice in modalità remota. Microsoft lo ha risolto questo bug a maggio. La vulnerabilità interessa SharePoint Server 2019, 2016 e SharePoint Server Subscription Edition.

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Entrambi i problemi sono considerati critici. Secondo la piattaforma Censys sono potenzialmente a rischio più di 100.000 server SharePoint accessibili su Internet.

I ricercatori di StarLabs hanno pubblicato i dettagli dell’exploit, dimostrando esattamente come i difetti scoperti possano essere utilizzati per eseguire codice da remoto senza autenticazione.

E possibile eseguire l’exploit creando un token JWT falso. Utilizzando l’algoritmo di firma si può generare un identificatore che simula i diritti di amministratore. È importante notare che questo algoritmo consente di modificare il token senza essere rilevato poiché non richiede una firma digitale. Una chiave falsa invece consente l’avvio del software sul server utilizzando la vulnerabilità CVE-2023-24955.

Valentin Lobshtein, uno specialista indipendente della Oteria Cyber ​​​​School, ha pubblicato su GitHub un codice proof-of-concept che dimostra lo sfruttamento di CVE-2023-29357. Questo codice mostra come un utente malintenzionato può fingere di essere un utente legittimo e ottenere privilegi elevati su sistemi SharePoint senza patch.

In un’intervista a Dark Reading, Lobstein ha spiegato che tali attacchi possono portare a gravi conseguenze: dalla perdita di dati riservati al Denial of Service (DoS).

Ha anche menzionato un altro exploit presentato dal team della VNPT Information Technology Company.

Microsoft non ha ancora commentato. Tuttavia, la società in precedenza consigliava di abilitare l’integrazione AMSI su SharePoint e di utilizzare Microsoft Defender come precauzione contro CVE-2023-29357.

SOCRadar ha osservato in un post sul blog: “È importante che le organizzazioni che utilizzano SharePoint Server, in particolare la versione 2019, agiscano il prima possibile. Dalla pubblicazione dell’exploit, i rischi derivanti dal suo utilizzo da parte degli aggressori sono aumentati in modo significativo.”

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.