L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajoutée une vulnérabilité de sécurité critique affectant Microsoft SharePoint Server et ses vulnérabilités exploitées connues (KEV), citant des preuves d’une exploitation active.
Le problème, suivi comme CVE-2023-29357 (score CVSS : 9,8), est une faille d’élévation de privilèges qui pourrait être exploitée par un attaquant pour obtenir les privilèges d’administrateur. Microsoft a publié des correctifs pour le bogue dans le cadre de ses mises à jour du Patch Tuesday de juin 2023.
« Un attaquant qui a accédé à des jetons d’authentification JWT usurpés peut les utiliser pour exécuter une attaque réseau qui contourne l’authentification et lui permet d’accéder aux privilèges d’un utilisateur authentifié », a déclaré Redmond. « L’attaquant n’a besoin d’aucun privilège et l’utilisateur n’a besoin d’effectuer aucune action. »
Chercheur en sécurité Nguyễn Tiến Giang (Jang) de StarLabs SG a démontré un exploit pour la faille du concours de piratage Pwn2Own de Vancouver, remportant un prix de 100 000 $.
Le chaîne d’exécution de code à distance pré-authentifiée combine le contournement d’authentification (CVE-2023–29357) avec un bug d’injection de code (CVE-2023-24955score CVSS : 7,2), ce dernier ayant été patché par Microsoft en mai 2023.
« Le processus de découverte et de création de la chaîne d’exploits a nécessité près d’un an d’efforts et de recherches méticuleux pour compléter la chaîne d’exploits », Tiến Giang noté dans un rapport technique publié en septembre 2023.
Des détails supplémentaires sur l’exploitation réelle de CVE-2023-29357 et l’identité des acteurs de la menace qui pourraient en abuser sont actuellement inconnus. Cela dit, il est recommandé aux agences fédérales d’appliquer les correctifs d’ici le 31 janvier 2024 pour se protéger contre la menace active.