باگ بحرانی شیرپوینت مایکروسافت به طور فعال مورد سوء استفاده قرار گرفت

CISA، دهم ژانویه ۲۰۲۴ هشدار داد که مهاجمان از یک آسیب ‌پذیری مهم شیرپوینت (SharePoint) مایکروسافت به منظور افزایش سطح دسترسی استفاده می‌کنند که می‌‌تواند همراه با یک باگ بحرانی دیگر برای اجرای کد از راه دور (RCE[1]) ترکیب شود. این باگ بحرانی شیرپوینت که با شناسه CVE-2023-29357 دنبال می‌گردد، به مهاجمان راه دور این امکان را می‌‌دهد تا با دور زدن احراز هویت توسط توکن‌های[2] جعلی JWT[3]، سطح دسترسی administrator را در سرورهای آسیب پذیر دریافت کنند.

مهاجمی که به توکن‌‌های جعلی احراز هویت JWT دسترسی پیدا کرده است، می‌تواند از آنها برای اجرای یک حمله شبکه استفاده کند که مکانیزم احراز هویت را دور زده و به مهاجم اجازه می‌‌دهد تا ابتدا به سطح دسترسی یک کاربر احراز هویت شده دسترسی پیدا کند و سپس آن را به administrator ارتقاء دهد. مهاجم به هیچ سطح دسترسی اولیه و اقدامی از سوی کاربر نیاز ندارد.

مهاجم راه دور همچنین می‌‌تواند کد دلخواه را بر روی سرورهای شیرپوینت آسیب‌ پذیر از طریق تزریق دستور (command injection) اجرا کند و این نقص را به آسیب ‌پذیری اجرای کد از راه دور CVE-2023-24955 شیرپوینت متصل نماید. این زنجیره اکسپلویت با موفقیت توسط Jang محقق آزمایشگاه STAR (Nguyễn Tiến Giang) در طول مسابقه Pwn2Own سال گذشته در مارس ۲۰۲۳ در ونکوور نمایش داده شد و او توانست ۱۰۰ هزار دلار جایزه دریافت کند. این محقق در بیست و پنجم سپتامبر، یک تجزیه و تحلیل فنی منتشر و فرآیند اکسپلویت را همراه با جزئیات تشریح کرد.

یک محقق امنیتی نیز یک اکسپلویت اثبات مفهوم CVE-2023-29357 را تنها یک روز بعد، در GitHub منتشر ساخت. اگرچه این اکسپلویت، امکان اجرای کد از راه دور را در سیستم‌های هدف اعطا نمی‌‌کند، اما مهاجمان می‌‌توانند به منظور ایجاد یک اکسپلویت کامل برای زنجیره‌‌ای که در Pwn2Own نمایش داده شده است، آن را با باگ CVE-2023-24955 خود به منظور اجرای کد از راه دور ترکیب کنند.

این اسکریپت، جزئیات کاربران admin با سطح دسترسی بالا را به عنوان خروجی می‌‌دهد و می‌‌تواند در هر دو حالت بهره ‌برداری تک و انبوه کار کند با این حال، این اسکریپت برای حفظ یک موضع اخلاقی، دارای عملکردهایی برای پیاده سازی RCE نیست و صرفاً به منظور اهداف آموزشی و آزمایش‌های قانونی و مجاز مورد استفاده قرار می‌گیرد.

سایر اکسپلویت‌‌های PoC از آن زمان، برای این زنجیره به صورت آنلاین ظاهر شده‌‌اند که سوء استفاده را ساده‌تر کرده و حتی به عوامل تهدید با مهارت کمتر اجازه می‌‌دهند تا از آنها در حملات خود استفاده کنند.

CISA در حالی که تاکنون جزئیات بیشتری در مورد بهره برداری فعال CVE-2023-29357 ارائه نکرده است، اما این آسیب پذیری را به کاتالوگ آسیب پذیری‌های مورد سوء استفاده شناخته شده خود افزوده است  و اکنون آژانس‌های فدرال ایالات متحده آمریکا را ملزم ساخته است تا این آسیب پذیری را تا پایان ایت ماه یعنی سی و یکم ژانویه، اصلاح نمایند.

[1] Remote Code Execution

[2] tokens

[3] JSON Web Token

منبع