CISA, Microsoft SharePoint Zafiyeti'nin Aktif Saldırılarına Dikkat Çekiyor

12.01.2024

CISA (Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı), Microsoft SharePoint Server'ı etkileyen kritik bir güvenlik açığını, Bilinen Saldırı Noktaları (KEV) kataloğuna dahil etti ve devam eden saldırı kanıtlarını vurguladı.

CVE-2023-29357 olarak tanımlanan ve CVSS puanı 9.8 olan bu, bir saldırganın yönetici ayrıcalıklarını elde etmesine olanak tanıyan bir ayrıcalık yükseltme açığıdır. Microsoft, bu güvenlik açığını Haziran 2023 Patch Tuesday güncellemeleri ile yayımlanan yamalarla ele aldı.

Microsoft'a göre, "Sahte JWT kimlik doğrulama token'larına erişim sağlayan bir saldırgan, bunları kullanarak kimlik doğrulamayı atlayan bir ağ saldırısı gerçekleştirebilir ve kimliği doğrulanmış bir kullanıcının ayrıcalıklarına erişim sağlayabilir. Saldırganın herhangi bir ayrıcalığa ihtiyacı yoktur ve kullanıcının herhangi bir eylem gerçekleştirmesine gerek yoktur."

Güvenlik araştırmacısı Nguyễn Tiến Giang (Jang), StarLabs SG'den, Pwn2Own Vancouver hack yarışmasında bu açık için bir exploit gösterdi ve 100.000 dolarlık bir ödül kazandı. Bu exploit, kimlik doğrulama atlamayı (CVE-2023-29357) birleştiren bir önceden yetkilendirilmiş uzaktan kod yürütme zinciri içerir ve Microsoft'un Mayıs 2023'te yama yaptığı bir kod enjeksiyon hatası (CVE-2023-24955, CVSS puanı: 7.2) içerir.

Tiến Giang, Eylül 2023'te yayımlanan bir teknik raporda, "Exploit zincirini keşfetme ve oluşturma süreci, tam exploit zincirini tamamlamak için bir yıl süren titiz çaba ve araştırmayı içeriyordu" dedi.

CVE-2023-29357'nin gerçek dünya saldırılarına dair özel detaylar ve potansiyel tehdit aktörlerinin kimliği hakkında bilgiler bilinmemekle birlikte, federal kuruluşlara aktif tehdide karşı korunmak için sağlanan yamaları 31 Ocak 2024 tarihine kadar uygulamaları kesinlikle önerilmektedir.