Come riportato dal ricercatore di sicurezza Kevin Beaumont, un gruppo di cybercriminali non meglio precisato ha messo le mani su un exploit funzionante per una vulnerabilità critica di Microsoft SharePoint risalente a quasi un anno fa. Questa vulnerabilità critica può potenzialmente ottenere l’esecuzione di codice remoto (RCE), anche se la Cybersecurity and Infrastructure Security Agency (CISA) statunitense ha dichiarato che il suo utilizzo nelle campagne di ransomware è attualmente “sconosciuto”.

Quando le vulnerabilità vengono aggiunte all’elenco delle vulnerabilità sfruttate note (KEV) della CISA, significa sia che le agenzie federali del ramo esecutivo civile (FCEB) hanno tre settimane di tempo per applicare le patch, sia che le vulnerabilità sono attivamente sfruttate dai criminali informatici. Classificata come CVE-2023-29357, la vulnerabilità di SharePoint in questione è stata identificata per la prima volta da Nguyễn Tiến Giang della società di sicurezza di Singapore STAR Labs, che a marzo dello scorso anno, durante il contest Pwn2Own di Vancouver, l’ha sfruttata per ottenere un RCE non autenticato su un server SharePoint.

CVE-2023-29357 è una vulnerabilità critica di elevazione dei privilegi (EoP) con un punteggio di gravità pari a 9,8. Microsoft ha originariamente affrontato il problema nel Patch Tuesday di giugno 2023 e, a settembre, Giang ha pubblicato un resoconto dettagliato di come ha sviluppato la catena di exploit sfruttando una seconda vulnerabilità (CVE-2023-24955). Sempre a settembre alcuni ricercatori avevano avvertito che i criminali informatici avrebbero potuto costruire un exploit funzionante per entrambe le vulnerabilità e che era estremamente importante applicare una patch il prima possibile.

software

Microsoft ha patchato le due vulnerabilità, ma ha ricordato agli amministratori IT che la semplice applicazione degli aggiornamenti del Patch Tuesday di giugno 2023 non proteggerà automaticamente le loro organizzazioni. È infatti necessario configurare AMSI (Anti Malware Scan Interface) per integrarlo con SharePoint per garantire che le correzioni siano applicate correttamente, poiché le patch non saranno installate da Windows Update.

La stessa vulnerabilità EOP è stata originariamente indicata da Microsoft con una complessità di attacco bassa.Un aggressore che sfruttasse con successo questa vulnerabilità potrebbe ottenere i privilegi di amministratore, ha scritto Microsoft. “Un utente malintenzionato che abbia ottenuto l’accesso a token di autenticazione JWT falsificati può utilizzarli per eseguire un attacco di rete che aggiri l’autenticazione e consenta di ottenere l’accesso ai privilegi di un utente autenticato. L’attaccante non ha bisogno di privilegi né l’utente deve eseguire alcuna azione”.

Anche alla vulnerabilità CVE-2023-24955 è stata assegnata una complessità di attacco bassa, ma con una valutazione meno grave di 7,2 a causa dei privilegi necessari per sfruttarla da remoto.