CISA cảnh báo lỗi nghiêm trọng trên SharePoint đang bị khai thác

Cơ quan An ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) cảnh báo kẻ tấn công hiện đang lợi dụng lỗ hổng nghiêm trọng leo thang đặc quyền trong Microsoft SharePoint và có thể kết hợp với chiếm quyền thực thi từ xa để kiểm soát hệ thống.

Lỗ hổng có mã định danh CVE-2023-29357, cho phép kẻ tấn công từ xa chiếm quyền quản trị trên các máy chủ chưa được vá bằng cách vượt qua xác thực khi sử dụng các token xác thực JWT giả mạo.

Microsoft cho biết: “Khai thác thành công lỗ hổng này có thể giành quyền quản trị viên. Kẻ tấn công không cần có bất kỳ quyền đặc quyền nào và người dùng cũng không cần thực hiện bất kỳ hành động nào.”

Kẻ tấn công từ xa cũng có thể thực thi mã tùy ý trên các máy chủ SharePoint thông qua chèn lệnh khi kết hợp lỗ hổng này với lỗ hổng thực thi mã từ xa CVE-2023-24955.

Nhà nghiên cứu tìm ra lỗ hổng CVE-2023-29357 đã công bố một phân tích kỹ thuật vào ngày 25 tháng 9 mô tả chi tiết quá trình khai thác.

Một ngày sau, một chuyên gia khác cũng đã công bố mã khai thác cho lỗ hổng CVE-2023-29357 trên GitHub.

Mặc dù chưa cung cấp thêm chi tiết về việc lợi dụng CVE-2023-29357, CISA đã thêm lỗ hổng này vào danh sách các lỗ hổng đã công bố và đang yêu cầu các cơ quan liên bang Hoa Kỳ giải quyết vào cuối tháng này.

Theo Bleepingcomputer