
CISA avertit que les attaquants exploitent désormais une vulnérabilité critique d’escalade de privilèges Microsoft SharePoint qui peut être chaînée avec un autre bogue critique pour l’exécution de code à distance.
Répertoriée sous le numéro CVE-2023-29357, la faille de sécurité permet aux attaquants distants d’obtenir des privilèges d’administrateur sur des serveurs non corrigés en contournant l’authentification à l’aide de jetons d’authentification JWT usurpés.
« Un attaquant qui a eu accès à des jetons d’authentification JWT usurpés peut les utiliser pour exécuter une attaque réseau qui contourne l’authentification et lui permet d’accéder aux privilèges d’un utilisateur authentifié », explique Microsoft.
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges d’administrateur. L’attaquant n’a besoin d’aucun privilège et l’utilisateur n’a besoin d’effectuer aucune action. »
Les attaquants distants peuvent également exécuter du code arbitraire sur des serveurs SharePoint compromis via l’injection de commandes lors de l’enchaînement de cette faille avec la vulnérabilité d’exécution de code à distance SharePoint Server CVE-2023-24955.
Cette chaîne d’exploits Microsoft SharePoint Server a été présentée avec succès par le chercheur de STAR Labs Jang (Nguy TiN Ti GiN Giang) lors du concours Pwn2Own de mars 2023 à Vancouver, remportant une récompense de 100 000$.
Le chercheur a publié une analyse technique le 25 septembre décrivant en détail le processus d’exploitation.
Juste un jour plus tard, un chercheur en sécurité a également publié un exploit de validation de principe CVE-2023-29357 sur GitHub.
Même si l’exploit n’autorise pas l’exécution de code à distance sur les systèmes ciblés, puisqu’il ne s’agit pas d’un exploit complet pour la chaîne présentée à Pwn2Own, son auteur a déclaré que les attaquants pourraient l’enchaîner avec le bogue CVE-2023-24955 eux-mêmes pour RCE.
« Le script génère des détails sur les utilisateurs administrateurs avec des privilèges élevés et peut fonctionner à la fois en mode d’exploitation unique et en mode d’exploitation de masse », explique le développeur de l’exploit PoC.
« Cependant, pour maintenir une position éthique, ce script ne contient pas de fonctionnalités pour effectuer l’ECR et est destiné uniquement à des fins éducatives et à des tests légaux et autorisés. »
Depuis lors, d’autres exploits PoC pour cette chaîne ont fait surface en ligne, abaissant la barre d’exploitation et permettant aux acteurs de la menace encore moins qualifiés de la déployer dans des attaques.
Bien qu’il n’ait pas encore fourni de détails supplémentaires sur l’exploitation active CVE-2023-29357, CISA a ajouté la vulnérabilité à son Catalogue de vulnérabilités exploitées connues et exige désormais que les agences fédérales américaines la corrigent d’ici la fin du mois, le 31 janvier.