Вымогателям стало еще проще повысить привилегии и выполнить код удаленно

[Artifact]

CISA предупреждает о новой угрозе после публикации эксплойта к старой уязвимости.
Исследователи сообщают о серьёзной угрозе: преступники, занимающиеся распространением вирусов-вымогателей, получили в своё распоряжение рабочий эксплойт для уязвимости в системе Microsoft SharePoint . Этот баг, имеющий почти годичную давность, недавно был включен в список критических проблем, требующих немедленного устранения, по версии Агентства по кибербезопасности и защите инфраструктуры (CISA).
Тем не менее, по данным CISA, применение этого эксплойта в рамках вымогательских кампаний пока не зафиксировано.
Уязвимость, получившая идентификатор CVE-2023-29357, была впервые выявлена Нгуен Тиеном Гиангом из сингапурской организации STAR Labs. В ходе конкурса Pwn2Own, проходившего в Ванкувере в марте 2023 года, Гиангу удалось использовать её совместно с другим багом для достижения неаутентифицированного удалённого выполнения кода на сервере SharePoint.
CVE-2023-29357 представляет собой критическую уязвимость повышения привилегий с оценкой серьёзности в 9.8 баллов. Microsoft выпустил соответствующее исправление в июне 2023 года, а Гианг поделился подробностями о разработке эксплойта спустя несколько месяцев, в сентябре.
На следующий день после публикации Гианга на GitHub был выложен прототип кода CVE-2023-29357. Однако этот код не содержал инструкций по его интеграции с другими уязвимостями, включая CVE-2023-24955, что было необходимо для создания комплексного эксплойта. Именно такой подход позволил Гиангу выиграть приз в размере $100,000 на Pwn2Own.
Один из исследователей – Кевин Бомонт , выразил мнение, что атаки с использованием этих дефектов могут начаться уже в ближайшие недели.
Как правило, после публикации доказательства концепции для любой уязвимости количество атак резко возрастает. Сейчас задержка может быть связана с тем, что CVE-2023-29357 и CVE-2023-24955 довольно сложно скомбинировать. По словам Гианга, его команде потребовался почти год усилий и исследований.
Microsoft выпустил исправления для CVE-2023-29357 в июне и для CVE-2023-24955 в мае 2023 года. Однако администраторам напоминают, что применение июньских обновлений не гарантирует полную защиту. Требуются специализированные патчи для SharePoint, которые не устанавливаются автоматически через Windows Update.
CVE-2023-24955 также оценивается как легко эксплуатируемая, с менее серьезным рейтингом - 7.2, поскольку для её удаленного использования требуются определенные привилегии.
Согласно информации от NHS Digital, в настоящее время в сети нет известных прототипов кода для уязвимости RCE. А значит, те, кто её эксплуатируют, разработали эксплойт самостоятельно и держат его в секрете. Это подчеркивает необходимость повышенной бдительности и своевременного применения обновлений со стороны IT-специалистов.
Ситуация напоминает о том, что мир кибербезопасности постоянно эволюционирует, и оперативное реагирование на новые угрозы, а также регулярное обновление систем безопасности, критически важны для защиты данных и инфраструктуры организаций. Она также служит предупреждением для всех пользователей SharePoint о том, что недооценка киберугроз может привести к серьезным последствиям и потерям.