Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine kritische Sicherheitslücke in Microsoft SharePoint Server aufgrund von Nachweisen aktiver Ausnutzung in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen.
Die Schwachstelle, erfasst unter CVE-2023-29357 mit einem CVSS-Wert von 9.8, ist ein Privilegien-Eskalationsfehler, der von Angreifern ausgenutzt werden könnte, um Administratorrechte zu erlangen. Microsoft hat im Rahmen seiner Patch-Dienstag-Updates im Juni 2023 Patches für den Bug veröffentlicht.
„Ein Angreifer, der Zugang zu gefälschten JWT-Authentifizierungstoken erlangt hat, kann diese nutzen, um einen Netzwerkangriff durchzuführen, der die Authentifizierung umgeht und es ihm ermöglicht, auf die Privilegien eines authentifizierten Benutzers zuzugreifen,“ erklärte Microsoft. „Der Angreifer benötigt keine Berechtigungen, und der Benutzer muss keine Aktion durchführen.“
Der Sicherheitsforscher Nguyễn Tiến Giang (Jang) von StarLabs SG demonstrierte einen Exploit für die Schwachstelle beim Pwn2Own Vancouver-Hacking-Wettbewerb und erhielt dafür einen Preis von 100.000 Dollar.
Die vorauthentifizierte Remote-Code-Ausführungskette kombiniert einen Authentifizierungsbypass (CVE-2023–29357) mit einem Code-Injection-Bug (CVE-2023-24955, CVSS-Wert: 7.2), der von Microsoft im Mai 2023 gepatcht wurde.
„Der Prozess der Entdeckung und Erstellung der Exploit-Kette erforderte fast ein Jahr sorgfältiger Arbeit und Forschung, um die vollständige Exploit-Kette zu vervollständigen,“ bemerkte Tiến Giang in einem technischen Bericht, der im September 2023 veröffentlicht wurde.
Weitere Einzelheiten über die reale Ausnutzung von CVE-2023–29357 und die Identität der Bedrohungsakteure, die sie möglicherweise missbrauchen, sind derzeit unbekannt. Dennoch wird Bundesbehörden empfohlen, die Patches bis zum 31. Januar 2024 anzuwenden, um sich gegen die aktive Bedrohung zu schützen.