CISA alerta sobre explotación activa de Microsoft SharePoint

La vulnerabilidad CVE-2023-29357 ha emergido como una seria amenaza a la seguridad en Microsoft SharePoint Server, captando la atención de la comunidad cibernética y de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).

Aviso de CISA

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha identificado y catalogado como crítica una vulnerabilidad de seguridad en Microsoft SharePoint Server, denominada CVE-2023-29357, con una puntuación CVSS de 9,8. 

Esta vulnerabilidad es una falla de escalada de privilegios que permite a un atacante obtener privilegios de administrador mediante la explotación de tokens de autenticación JWT falsificados con un error de inyección de código bajo el CVE-2023-24955 de puntuación CVSS de 7,2. Microsoft lanzó parches para estas vulnerabilidades como parte de sus actualizaciones de parches en junio y mayo de 2023 respectivamente.

Ilustración 1: Aviso Cisa incorporación vulnerabilidad CVE-2023-29357 en KEV
Fuente: Cisa

Explotabilidad de la vulnerabilidad

Según el investigador de seguridad Tiến Giang, el proceso de descubrimiento y desarrollo de la cadena de exploits tomó casi un año de esfuerzo e investigación meticulosa. Aunque actualmente no se conocen detalles sobre la explotación en el mundo real del CVE-2023-29357 ni la identidad de los actores de amenazas, se recomienda aplicar los parches de seguridad a la brevedad posible para mitigar esta amenaza activa y reducir la superficie de ataque.

En el siguiente video se puede apreciar una demostración de la explotación de esta vulnerabilidad.

Así mismo, existe en Github una PoC en detalle, con la explotación de esta vulnerabilidad, para fines educativos y pruebas legales autorizadas.

Ilustración 2: PoC en Github CVE-2023-29357
Fuente: Github

Demostración de la vulnerabilidad

El investigador de seguridad Nguyễn Tiến Giang (Jang) de StarLabs SG mostró un exploit para esta vulnerabilidad en el concurso de Hacking Pwn2Own Vancouver, recibiendo un premio de 100.000 dólares. La cadena de ejecución remota de código autenticado también involucra otra vulnerabilidad (CVE-2023-24955, puntuación CVSS: 7.2) relacionada con la inyección de código, que Microsoft parcheó en mayo de 2023.

Avisos en Portal CCI de ENTEL

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1625/
• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1728/
• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1588/

Apreciación

La reciente exposición de la vulnerabilidad CVE-2023-29357 en Microsoft SharePoint Server revela una amenaza considerable para la integridad y seguridad de los sistemas que dependen de esta plataforma. La demostración exitosa del exploit en el concurso Pwn2Own Vancouver por el investigador de seguridad Nguyễn Tiến Giang (Jang) ha subrayado la urgencia de abordar esta vulnerabilidad crítica.

Esta explotación pone de manifiesto la sofisticación de las tácticas utilizadas por los atacantes para eludir las medidas de seguridad, especialmente mediante la combinación de la omisión de autenticación con la inyección de código.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Garantizar que todos los sistemas que ejecutan Microsoft SharePoint Server estén actualizados con los parches lanzados por Microsoft en las actualizaciones de junio de 2023.
• Realizar auditorías regulares para detectar tokens de autenticación JWT falsificados, con un enfoque especial en la identificación de actividades sospechosas.
• Implementar soluciones de monitoreo de seguridad que permitan la detección temprana de comportamientos anómalos o intentos de explotación.
• Educar a los usuarios y al personal de TI sobre las posibles amenazas asociadas con CVE-2023-29357, haciendo hincapié en la importancia de prácticas de ciberseguridad.
• Evaluar y fortalecer las políticas de seguridad de la organización para abordar específicamente las vulnerabilidades que podrían ser explotadas de manera similar en el futuro.