CISA avertit que les attaquants exploitent désormais une vulnérabilité d’injection de code Microsoft SharePoint qui peut être chaînée avec une faille critique d’escalade de privilèges pour les attaques d’exécution de code à distance pré-authentification.
Répertoriée sous le numéro CVE-2023-24955, cette vulnérabilité de serveur SharePoint permet aux attaquants authentifiés disposant des privilèges de propriétaire de site d’exécuter du code à distance sur des serveurs vulnérables.
La deuxième faille (CVE-2023-29357) permet aux attaquants distants d’obtenir des privilèges d’administrateur sur des serveurs SharePoint vulnérables en contournant l’authentification à l’aide de jetons d’authentification JWT usurpés.
Le chercheur de STAR Labs, Nguy TiN Ti GiN Giang (Janggggg), a remporté une récompense de 100 000 $après avoir démontré un exploit de serveur SharePoint enchaînant les deux bogues lors du concours Pwn2Own de mars 2023 de l’année dernière à Vancouver.
Un exploit de validation de principe CVE-2023-29357 a également été publié sur GitHub le 25 septembre, un jour après que le chercheur en sécurité a publié une analyse technique décrivant le processus d’exploitation.
Bien que l’exploit PoC n’ait pas permis aux attaquants d’obtenir l’exécution de code à distance sur des systèmes ciblés, les auteurs de menaces pouvaient toujours le modifier pour compléter la chaîne avec des capacités d’exploitation CVE-2023-24955 pour les attaques RCE.
De multiples exploits PoC ciblant cette chaîne ont depuis fait surface en ligne (dont un publié par Star Labs), ce qui permet aux attaquants moins qualifiés de l’utiliser plus facilement dans leurs attaques.
Un mois plus tard, CISA a ajouté la faille CVE-2023-29357 à son Catalogue de vulnérabilités exploitées connues et a ordonné aux agences fédérales américaines de la corriger d’ici la fin du mois, le 31 janvier.
Mardi, l’agence de cybersécurité a ajouté la vulnérabilité d’injection de code CVE-2023-24955 à sa liste de failles de sécurité activement exploitées. Comme l’exige la directive opérationnelle contraignante BOD 22-01, les agences fédérales doivent sécuriser leurs serveurs Sharepoint d’ici le 16 avril.
Bien que CISA n’ait partagé aucun détail concernant les attaques exploitant les deux vulnérabilités Sharepoint, l’agence de cybersécurité a déclaré qu’elle n’avait aucune preuve qu’elles avaient été utilisées dans des attaques par ransomware.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a déclaré la CISA.
Même si le catalogue KEV de CISA se concentre sur l’alerte des agences fédérales sur les vulnérabilités qui doivent être corrigées dès que possible, il est également conseillé aux organisations privées de prioriser la correction de cette chaîne d’exploits pour bloquer les attaques.