Roman GłogulskiO CISA emitiu um aviso sobre a ocorrência de ataques ativos no sistema SharePoint. Existe uma vulnerabilidade crítica, CVE-2023-29357, cuja descrição técnica foi publicada no ano passado. O principal problema é a capacidade de contornar a autenticação no SharePoint por meio de um JSON Web Token (JWT) com o algoritmo “none”.
O que é um token JWT?
Um JSON Web Token (JWT) é um formato usado para trocar informações entre duas partes como JSON. É uma metodologia para transmitir informações de um sistema para outro, juntamente com uma assinatura digital para autenticação.
Durante a criação de um token JWT para o SharePoint, é possível inserir dados arbitrários porque o servidor não verifica a corretude da assinatura digital. Ao explorar esses mecanismos, os invasores podem contornar o processo de autenticação e realizar ações no SharePoint como administradores.
Como funciona a exploração?
Utilizando a vulnerabilidade CVE-2023-29357, os invasores podem gerar solicitações HTTP para se passar por um usuário do Administrador do Site e realizar outras ações no sistema SharePoint.
Pesquisadores também conduziram estudos para obter a capacidade de executar comandos no servidor. Após alguns dias, outra vulnerabilidade, CVE-2023-24955, foi descoberta, que, em conjunto com a anterior, permite a execução de comandos no servidor sem autenticação prévia.
Quais são as consequências?
As vulnerabilidades CVE-2023-29357 e CVE-2023-24955 foram corrigidas no ano passado, mas sua existência no passado foi motivo de grande preocupação. A exploração dessas vulnerabilidades por atores maliciosos pode levar a violações de confidencialidade, integridade de dados e controle sobre o sistema SharePoint.
O CISA recomenda que os administradores do SharePoint monitorem e atualizem seus sistemas para evitar problemas relacionados a essas vulnerabilidades.
FAQ
Quais são as vulnerabilidades do SharePoint descritas neste artigo?
Este artigo aborda duas vulnerabilidades: CVE-2023-29357 e CVE-2023-24955. A primeira vulnerabilidade permite contornar a autenticação no SharePoint por meio de um token JWT, possibilitando a manipulação de ações do administrador. A segunda vulnerabilidade permite a execução de comandos no servidor sem autenticação prévia.
Quais medidas devem ser tomadas para proteger o sistema SharePoint contra essas vulnerabilidades?
Para proteger o sistema SharePoint contra essas vulnerabilidades, é recomendado monitorar e atualizar o sistema para aplicar os últimos patches e correções. A realização regular de varreduras de vulnerabilidade também é importante para identificar e mitigar quaisquer ameaças potenciais.
Fonte:
CISA: cisa.gov.pl
The source of the article is from the blog coletivometranca.com.br
