Advertencia de vulnerabilidad de SharePoint de CISA: Fallo RCE explotado
A la luz de las recientes amenazas cibernéticas, una advertencia de vulnerabilidad de SharePoint de SharePoint. Según los informes de los medios de comunicación, los actores de amenazas están explotando el fallo de ejecución remota de código para lanzar código arbitrario, lo que les permite tener privilegios de Site Owner. Este vulnerabilidad CISA de SharePoint también se ha añadido a la lista Vulnerabilidades Explotadas Conocidas (KEV) de CISA de CISA.
En este artículo, exploraremos los detalles de la vulnerabilidad, aprenderemos cómo la explotan los ciberdelincuentes y discutiremos las medidas de mitigación que se pueden adoptar.
CVE-2023-24955 descubierto
Este vulnerabilidad de ejecución remota de código (RCE) ha sido rastreada como CVE-2023-24955. Según la vulnerabilidad advertencia de vulnerabilidad de SharePoint de CISA este fallo se está explotando activamente en la naturaleza y actualmente tiene una calificación de 7,2 en el Sistema de puntuación de vulnerabilidades comunes (CVSS).
Para quienes no conozcan el sistema, proporciona una representación numérica de la gravedad de una vulnerabilidad. Según el CISA Vulnerabilidad de SharePoint esta falla, cuando es explotada, permite a los atacantes adquirir privilegios de Propietario del Sitio.
Estos privilegios pueden ser elevados para ejecutar código remoto. Dado que esta vulnerabilidad de SharePoint puede conducir a la ejecución de código arbitrario, se ha clasificado como muy grave y exige la adopción de las medidas de protección necesarias.
CISA Secuencia de ataque a la vulnerabilidad de SharePoint
Antes de entrar en los detalles de la secuencia de ataque, vale la pena mencionar que la prevalencia de esta vulnerabilidad ha llegado dos meses después de que el CISA añadiera CVE-2023-29357 al catálogo KEV. CVE-2023-29357 es otro fallo del servidor SharePoint que permite a los hackers obtener privilegios de administrador.
Los actores de amenazas adquieren tales privilegios eludiendo los protocolos de autenticación mediante tokens de autenticación JWT. GitHub publicó una prueba de concepto (PoC) para CVE-2023-29357 en septiembre del año pasado. Un mes más tarde, la vulnerabilidad se añadió al catálogo KEV, y se ordenó a las agencias que la parchearan antes del 31 de enero de 2024.
El exploit PoC no permite a los actores de amenazas adquirir privilegios de ejecución remota de código por sí solos. Sin embargo, los actores de amenazas pueden combinar la explotación de CVE-2023-24955 y CVE-2023-29357 para llevar a cabo intenciones maliciosas. Un exploit de este tipo les permitiría obtener privilegios tanto de Site Owner como de RCE.
Esta cadena de ataque fue demostrada por StarLabs SG en el concurso de hacking Pwn2Own Vancouver, donde los investigadores, según informan los medios de comunicación, ganaron un premio de 100.000 dólares. Estas demostraciones han facilitado a los actores de amenazas llevar a cabo sus intenciones maliciosas. Sin embargo, las amenazas no han convertido esta cadena de ataque en un arma de explotación activa.
A pesar de ello, la prevalencia y gravedad de tales vulnerabilidades sirven de duro recordatorio para que las organizaciones y agencias desarrollen y desplieguen estrategias de ciberseguridad competentes. Para arrojar luz sobre la gravedad de las vulnerabilidades, la CISA ha declarado:
"Este tipo de vulnerabilidades son vectores de ataque frecuentes para los ciberactores maliciosos y plantean riesgos significativos para la empresa federal."
Protección de entornos SharePoint
El sitio CISA vulnerabilidad de SharePoint ha dejado claro que el fallo es una amenaza importante para las organizaciones. Además, el fallo mencionado en el aviso de vulnerabilidad advertencia de vulnerabilidad de SharePoint de CISA de SharePoint del CISA exige la adopción inmediata de estrategias de seguridad que protejan redes, aplicaciones y datos.
Para desarrollar estas contramedidas, los profesionales de la ciberseguridad deben comprender a fondo las cadenas de ataque y las técnicas utilizadas por los actores de las amenazas para explotar los fallos conocidos. Según recientes noticiasMicrosoft ha declarado:
"Los clientes que hayan activado las actualizaciones automáticas y habilitado la opción "Recibir actualizaciones para otros productos de Microsoft" dentro de la configuración de Windows Update ya están protegidos."
Vale la pena mencionar aquí que las agencias del Poder Ejecutivo Civil Federal (FCEB) ahora están obligadas a aplicar parches para asegurar sus redes contra amenazas activas. Estos parches deben aplicarse antes del 16 de abril de 2024.
Conclusión
La reciente CISA sobre la vulnerabilidad de SharePoint ha puesto de manifiesto un fallo crítico de RCE que afecta al servidor Microsoft SharePoint. El fallo, si se explota, otorga privilegios de Site Owner a los actores de amenazas, permitiéndoles ejecutar código arbitrario. Dada la gravedad del fallo, la aplicación de medidas proactivas de ciberseguridad se ha convertido en algo esencial, ya que ayudan a protegerse contra las amenazas y a mejorar la postura de seguridad.
Las fuentes del artículo incluyen artículos en The Hacker News y BleepingComputer.