Microsoft SharePoint-Schwachstelle wird aktiv ausgenutzt
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat eine kritische Sicherheitslücke, die Microsoft SharePoint Server betrifft, in ihren Katalog der bekannten ausgenutzten Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen. Der Behörde liegen Hinweise auf eine aktive Ausnutzung vor.
Das Sicherheitsproblem, vor dem die CISA aktuell warnt, trägt die Bezeichnung CVE-2023-29357. Es wird mit einem CVSS-Score von 9.8 als besonders kritisch eingestuft. Die Schwachstelle ermöglicht es einem Angreifer, Administratorrechte zu erlangen. Laut Microsoft erlaubt sie jedem, der gefälschte JWT-Authentifizierungs-Tokens hat, einen Netzwerkangriff durchzuführen. Dadurch kann er die Authentifizierung umgehen und auf die Privilegien eines authentifizierten Benutzers zugreifen. Es ist wichtig zu beachten, dass der Angreifer dafür keine besonderen Berechtigungen benötigt und der Benutzer keine zusätzlichen Aktionen durchführen muss. Microsoft hat bereits im Juni 2023 Patches veröffentlicht, um diese Schwachstelle zu beheben. Offensichtlich sind diese Patches aber in vielen Organisationen unbeachtet geblieben.
Der Sicherheitsforscher Nguyễn Tiến Giang (Jang) von StarLabs SG hat auf dem Pwn2Own-Hacking-Wettbewerb im vergangenen Jahr einen Exploit für eine Sicherheitslücke vorgeführt und dafür 100.000 Dollar erhalten.
Die vorauthentifizierte Remotecode-Ausführungskette gelang durch die Kombination zweier Schwachstellen: Die erste Schwachstelle betrifft die Umgehung der Authentifizierung (CVE-2023-29357). Die zweite Schwachstelle beinhaltet einen Code-Injektionsfehler (CVE-2023-24955) mit einem CVSS-Score von 7.2, der im Mai 2023 von Microsoft gepatcht wurde.
Nguyễn Tiến Giang beschreibt den Prozess der Entdeckung und Erstellung des Exploits als eine fast einjährige, akribische Arbeit und Forschung, die dazu diente, die gesamte Exploit-Kette zu vervollständigen. Der entsprechende technische Bericht wurde im September 2023 veröffentlicht.
Weitere Einzelheiten über die tatsächliche Ausnutzung von CVE-2023-29357 und die Identität der Bedrohungsakteure, die sie möglicherweise missbrauchen, sind derzeit nicht bekannt. Dennoch wird den Bundesbehörden empfohlen, die Patches bis zum 31. Januar 2024 zu installieren, um sich gegen die aktive Bedrohung zu schützen. Auch jedes andere Unternehmen tut in der Regel gut daran, solche Empfehlungen zu beherzigen.