Uwaga na aktywną exploitację instancji Sharepointa. Bez uwierzytelnienia przejmują serwery. Banalna podatność CVE-2023-29357

O problemie aktywnej exploitacji ostrzega organizacja CISA. Chodzi przede wszystkim o krytyczną podatność CVE-2023-29357, której techniczny opis został opublikowany w zeszłym roku. W czym problem? Można ominąć uwierzytelnienie do Sharepointa używając tokenu JWT z algorytmem none, czyli używając nagłówka JWT:

{„alg”: „none”}

Payload tokenu wygląda mniej więcej tak (można wpisać w niego cokolwiek, bo serwer i tak nie sprawdza podpisu cyfrowego całości – atakujący wymusza takie zachowanie algorytmem none). Część zaznaczona boldem oznacza użytkownika, w kontekście którego zostanie wykonana operacja w Sharepoincie.

{„iss”:”00000003-0000-0ff1-ce00-000000000000″,”aud”: „00000003-0000-0ff1-ce00-000000000000/splab@3b80be6c-6741-4135-9292-afed8df596af”,”nbf”:”1673410334″,”exp”:”1693410334″,”nameid”:”c#.w|Administrator„, „http://schemas.microsoft.com/sharepoint/2009/08/claims/userlogonname”:”Administrator”, „appidacr”:”0″ }

Badacze podsumowują to w ten sposób:

Po prostu możemy generować dowolne żądania HTTP, będąc nagle de facto administratorami Sharepointa:

Then we can impersonate Site Admin user and perform any further action!

Na tym jednak badacze nie poprzestali. Chcieli uzyskać możliwość wykonywania poleceń na serwerze. Poprzedni problem udało się zlokalizować w raptem 2 dni, tutaj było trochę gorzej. Ale czego się nie robi dla $100 000 bug bounty ;-)

W każdym razie efektem pracy było zlokalizowanie podatności CVE-2023–24955, która połączona z poprzednią daje możliwość wykonywania poleceń na serwerze – bez konieczności wcześniejszego uwierzytelnienia.

Podatności zostały załatane w zeszłym roku.

~ms