CISA Warnung vor SharePoint-Schwachstellen: RCE-Schwachstelle ausgenutzt
In Anbetracht der jüngsten Cyber-Bedrohungen hat ein CISA SharePoint-Schwachstelle Warnung herausgegeben. Medienberichten zufolge nutzen Bedrohungsakteure die Remote Code Execution-Schwachstelle aus, um beliebigen Code auszuführen, der ihnen die Rechte des Website-Besitzers verschafft. Diese CISA SharePoint-Schwachstelle wurde auch in die Liste der CISA Known Exploited Vulnerabilities (KEV) Katalog aufgenommen.
In diesem Artikel gehen wir auf die Details der Schwachstelle ein, erfahren, wie Cyberkriminelle sie ausnutzen, und erörtern Maßnahmen zur Schadensbegrenzung, die ergriffen werden können.
CVE-2023-24955 aufgedeckt
Diese Sicherheitslücke bei der Remotecodeausführung (RCE) wurde als CVE-2023-24955 verfolgt. Gemäß der CISA SharePoint-Schwachstelle wird diese Schwachstelle in freier Wildbahn aktiv ausgenutzt und hat derzeit eine CVSS-Bewertung (Common Vulnerability Scoring System) von 7.2.
Für diejenigen, die das System nicht kennen, bietet es eine numerische Darstellung des Schweregrads einer Schwachstelle. Gemäß der CISA SharePoint-Schwachstelle erlaubt diese Schwachstelle, wenn sie ausgenutzt wird, Angreifern, sich die Rechte des Website-Besitzers zu verschaffen.
Diese Berechtigungen können dann erweitert werden, um entfernten Code auszuführen. Da diese SharePoint-Schwachstelle zur Ausführung von beliebigem Code führen kann, wurde sie als sehr schwerwiegend eingestuft und erfordert entsprechende Schutzmaßnahmen.
CISA-Angriffssequenz für SharePoint-Schwachstellen
Bevor wir auf die Details der Angriffssequenz eingehen, ist es erwähnenswert, dass die Verbreitung dieser Sicherheitslücke zwei Monate nach der Aufnahme von CVE-2023-29357 in den KEV-Katalog durch die CISA erfolgt ist. CVE-2023-29357 ist eine weitere Schwachstelle im SharePoint-Server, die es Hackern ermöglicht, Administratorrechte zu erlangen.
Bedrohungsakteure verschaffen sich solche Privilegien, indem sie Authentifizierungsprotokolle mit JWT-Auth-Tokens umgehen. GitHub veröffentlichte im September letzten Jahres einen Proof-of-Concept (PoC)-Exploit für CVE-2023-29357. Einen Monat später wurde die Schwachstelle in den KEV-Katalog aufgenommen, und die Behörden wurden aufgefordert, sie bis zum 31. Januar 2024 zu beheben.
Der PoC-Exploit ermöglicht es Bedrohungsakteuren nicht, selbständig Remotecode-Ausführungsberechtigungen zu erlangen. Bedrohungsakteure können jedoch die Ausnutzung von CVE-2023-24955 und CVE-2023-29357 kombinieren, um bösartige Absichten zu verfolgen. Ein solcher Exploit würde es ihnen ermöglichen, sowohl Site Owner- als auch RCE-Rechte zu erlangen.
Diese Angriffskette wurde von StarLabs SG beim Pwn2Own-Hacking-Wettbewerb in Vancouver demonstriert, bei dem die Forscher laut Medienberichten ein Preisgeld von 100.000 US-Dollar erhielten. Solche Demonstrationen haben es den Bedrohungsakteuren erleichtert, ihre bösartigen Absichten zu verwirklichen. Allerdings haben die Bedrohungsakteure diese Angriffskette nicht für aktive Angriffe genutzt.
Dennoch sind die Häufigkeit und der Schweregrad solcher Schwachstellen eine deutliche Mahnung an Organisationen und Behörden, kompetente Cybersicherheitsstrategien zu entwickeln und einzusetzen. Um den Schweregrad der Schwachstellen zu verdeutlichen, hat die CISA hat erklärt:
"Diese Art von Schwachstellen sind häufige Angriffsvektoren für böswillige Cyber-Akteure und stellen ein erhebliches Risiko für das Bundesunternehmen dar."
Absicherung von SharePoint-Umgebungen
Die CISA SharePoint-Schwachstelle Warnung hat deutlich gemacht, dass die Schwachstelle eine erhebliche Bedrohung für Unternehmen darstellt. Darüber hinaus ist die in der CISA SharePoint-Schwachstelle Warnung erwähnte Schwachstelle ist eine, die die sofortige Einführung von Sicherheitsstrategien die Netzwerke, Anwendungen und Daten schützen.
Um solche Gegenmaßnahmen zu entwickeln, müssen Cybersicherheitsexperten die Angriffsketten und Techniken, die von Bedrohungsakteuren zur Ausnutzung bekannter Schwachstellen verwendet werden, genau verstehen. Wie kürzlich in Nachrichtenberichtenhat Microsoft erklärt:
"Kunden, die automatische Updates aktiviert haben und in ihren Windows Update-Einstellungen die Option 'Updates für andere Microsoft-Produkte empfangen' aktivieren, sind bereits geschützt."
Es ist erwähnenswert, dass die Bundesbehörden der zivilen Exekutive (Federal Civilian Executive Branch, FCEB) jetzt verpflichtet sind, Patches anzuwenden, um ihre Netzwerke vor aktiven Bedrohungen zu schützen. Diese Patches müssen bis zum 16. April 2024 angewendet werden.
Schlussfolgerung
Die jüngste CISA SharePoint-Schwachstelle hat auf eine kritische RCE-Schwachstelle hingewiesen, die den Microsoft SharePoint-Server betrifft. Wenn die Schwachstelle ausgenutzt wird, erhalten Bedrohungsakteure Site Owners Privilegien, die es ihnen ermöglichen, beliebigen Code auszuführen. In Anbetracht der Schwere der Schwachstelle ist die Umsetzung proaktive Cybersicherheitsmaßnahmen von entscheidender Bedeutung, um sich vor Bedrohungen zu schützen und die Sicherheitslage zu verbessern.
Zu den Quellen für den Beitrag gehören Artikel in den Hacker-Nachrichten und BleepingComputer.