La vulnerabilidad CVE-2023-29357 ha emergido como una seria amenaza a la seguridad en Microsoft SharePoint Server, captando la atención de la comunidad cibernética y de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
Aviso de CISA
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha identificado y catalogado como crítica una vulnerabilidad de seguridad en Microsoft SharePoint Server, denominada CVE-2023-29357, con una puntuación CVSS de 9,8.
Esta vulnerabilidad es una falla de escalada de privilegios que permite a un atacante obtener privilegios de administrador mediante la explotación de tokens de autenticación JWT falsificados con un error de inyección de código bajo el CVE-2023-24955 de puntuación CVSS de 7,2. Microsoft lanzó parches para estas vulnerabilidades como parte de sus actualizaciones de parches en junio y mayo de 2023 respectivamente.
Ilustración 1: Aviso Cisa incorporación vulnerabilidad CVE-2023-29357 en KEV
Fuente: Cisa
Explotabilidad de la vulnerabilidad
Según el investigador de seguridad Tiến Giang, el proceso de descubrimiento y desarrollo de la cadena de exploits tomó casi un año de esfuerzo e investigación meticulosa. Aunque actualmente no se conocen detalles sobre la explotación en el mundo real del CVE-2023-29357 ni la identidad de los actores de amenazas, se recomienda aplicar los parches de seguridad a la brevedad posible para mitigar esta amenaza activa y reducir la superficie de ataque.
En el siguiente video se puede apreciar una demostración de la explotación de esta vulnerabilidad.
Así mismo, existe en Github una PoC en detalle, con la explotación de esta vulnerabilidad, para fines educativos y pruebas legales autorizadas.
Ilustración 2: PoC en Github CVE-2023-29357
Fuente: Github
Demostración de la vulnerabilidad
El investigador de seguridad Nguyễn Tiến Giang (Jang) de StarLabs SG mostró un exploit para esta vulnerabilidad en el concurso de Hacking Pwn2Own Vancouver, recibiendo un premio de 100.000 dólares. La cadena de ejecución remota de código autenticado también involucra otra vulnerabilidad (CVE-2023-24955, puntuación CVSS: 7.2) relacionada con la inyección de código, que Microsoft parcheó en mayo de 2023.
Avisos en Portal CCI de ENTEL
Apreciación
La reciente exposición de la vulnerabilidad CVE-2023-29357 en Microsoft SharePoint Server revela una amenaza considerable para la integridad y seguridad de los sistemas que dependen de esta plataforma. La demostración exitosa del exploit en el concurso Pwn2Own Vancouver por el investigador de seguridad Nguyễn Tiến Giang (Jang) ha subrayado la urgencia de abordar esta vulnerabilidad crítica.
Esta explotación pone de manifiesto la sofisticación de las tácticas utilizadas por los atacantes para eludir las medidas de seguridad, especialmente mediante la combinación de la omisión de autenticación con la inyección de código.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Renuncia de Responsabilidad:
Utilice esta información bajo su propia responsabilidad! El Centro de Ciberinteligencia de Entel no se hace responsable por el uso indebido o pruebas de conceptos no controladas por parte del lector.