Se stai usando i server Microsoft SharePoint, la CISA ha emesso un’avvertenza in merito alla presenza di una nuova vulnerabilità critica, capace di sfruttare al meglio (per lei) le vulnerabilità presenti all’interno di uno o più server.
CISA ha sollecitato gli utenti a effettuare gli aggiornamenti entro il 31 gennaio per proteggersi dalle minacce attive. La tempestiva applicazione delle correzioni è fondamentale per mitigare i rischi legati a questa vulnerabilità e garantire la sicurezza dei sistemi SharePoint interessati.
CISA, nuova vulnerabilità KEV riscontrata su Microsoft SharePoint
Come riporta The Hacker News, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha incluso una nuova vulnerabilità critica che colpisce i server Microsoft SharePoint. Finita nel catalogo delle vulnerabilità note sfruttate (KEV), è attualmente oggetto di sfruttamento attivo da parte di hacker malintenzionati.
La tipologia della vulnerabilità rientra tra quelle con privilege escalation (letteralmente, sorpasso delle autorizzazioni). È in pratica lo sfruttamento di una falla, di un errore di progetto o di configurazione di un software applicativo o di un sistema operativo. Col fine di acquisire il controllo di risorse di macchina normalmente precluse a un utente o a un’applicazione.
È abbastanza evidente che un’applicazione con maggiori autorizzazioni di quelle previste dallo sviluppo originale o fissate dall’amministratore di sistema può mettere in opera azioni impreviste e non autorizzate. Per questo la CISA ha rilasciato un avviso, sottolineando l’importanza di applicare le correzioni fornite da Microsoft.
Tutti i dettagli sulla vulnerabilità
La vulnerabilità segnalata dalla CISA, denominata CVE-2023-29357 e classificata con un punteggio di gravità di 9.8 secondo il Common Vulnerability Scoring System (CVSS), consente a un utente non autenticato e malintenzionato di sfruttare token di autenticazione JSON Web Token (JWT) contraffatti.
Questi token possono essere utilizzati per eseguire attacchi di rete, consentendo all’aggressore di aggirare l’autenticazione e acquisire privilegi di amministratore sul sistema interessato. L’exploit ha combinato due vulnerabilità, compresa la CVE-2023-29357, per ottenere esecuzione di codice remoto pre-autenticazione (RCE) su server SharePoint.
- La prima vulnerabilità consente aggirare l’autenticazione OAuth di SharePoint, sfruttando un algoritmo di convalida della firma difettoso per i token JWT.
- La seconda vulnerabilità, CVE-2023-24955, permette l’inserimento di codice arbitrario con le autorizzazioni di proprietario di SharePoint già ottenute.
L’agenzia ha consigliato agli utenti di implementare le mitigazioni suggerite dal fornitore o di interrompere l’uso del prodotto se tali soluzioni non fossero disponibili. Non a caso, riporta The Hacker News, Microsoft ha fatto sapere che è stata rilasciata una correzione per CVE-2023-29357 da tempo. Basta solo abilitare l’opzione “Ricevi aggiornamenti per altri prodotti Microsoft” nelle impostazioni di Windows Update.
