Se agregó una vulnerabilidad de escalada de privilegios parcheada que afecta a los servidores de Microsoft SharePoint al catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
Citando evidencia de explotación activa, CISA ha etiquetado el error de gravedad crítica para el que Microsoft publicó correcciones anteriormente como parte de sus actualizaciones del martes de parches de junio de 2023.
Registrada como CVE-2023-29357, la vulnerabilidad (CVSS 9.8) permite que un atacante no autenticado, que haya obtenido acceso a tokens de autenticación JSON Web Token (JWT) falsificados, los utilice para ejecutar un ataque de red, según la entrada de KEV.
«Este ataque pasa por alto la autenticación, lo que permite al atacante obtener privilegios de administrador», dijo CISA en la entrada. «Aplique las mitigaciones según las instrucciones del proveedor o suspenda el uso del producto si las mitigaciones no están disponibles».
Los posibles exploits incluyen RCE de autenticación previa
Si bien se desconocen los detalles de las explotaciones en el mundo real de CVE-2023-29357, un investigador de seguridad de StarLabs, Nguyễn Tiến Giang, demostró con éxito una explotación en cadena de dos errores en un concurso de piratería informática, PWN2OWN, celebrado en marzo de 2023.
El exploit del concurso había combinado dos vulnerabilidades para lograr la ejecución remota de código (RCE) previa a la autenticación en el servidor SharePoint. Si bien la primera vulnerabilidad (CVE-2023-29357) permitió eludir la autenticación en SharePoint OAuth aprovechando un algoritmo de validación de firma defectuoso para tokens JWT, una segunda vulnerabilidad de inyección de código (CVE-2023-24955) permitía insertar código arbitrario con permisos de propietario de SharePoint ya obtenidos.