Los expertos en seguridad afirman que los delincuentes de ransomware han conseguido un exploit funcional para una vulnerabilidad crítica de Microsoft SharePoint de casi un año de antigüedad que se agregó esta semana a la lista de parches obligatorios de EE. UU. Sin identificar específicamente a la pandilla, el investigador Kevin Beaumont dijo que al menos un grupo de ransomware tiene un exploit funcional para la vulnerabilidad crítica, que potencialmente puede lograr la ejecución remota de código (RCE), aunque la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dijo que su uso en Las campañas de ransomware son actualmente «desconocidas». Cuando se agregan vulnerabilidades a la lista de vulnerabilidades explotadas conocidas (KEV) de CISA, significa dos cosas: las agencias del poder ejecutivo civil federal (FCEB) tienen tres semanas para parchearlas y están siendo explotadas activamente por ciberdelincuentes. Rastreada como CVE-2023-29357, la vulnerabilidad de SharePoint en cuestión fue identificada por primera vez por Nguyễn Tiến Giang (Jang) de la empresa de seguridad de Singapur STAR Labs. En marzo de 2023, durante el concurso Pwn2Own de Vancouver, lo encadenó con otro error para lograr RCE no autenticado en un servidor SharePoint. CVE-2023-29357 es una vulnerabilidad crítica de elevación de privilegios (EoP) que conlleva una puntuación de gravedad de 9,8. Microsoft abordó esto originalmente en el martes de parches de junio de 2023, y Jang publicó un resumen detallado de cómo se desarrolló la cadena de exploits unos meses después, en septiembre. El código de prueba de concepto (PoC) para CVE-2023-29357 se publicó en GitHub al día siguiente, pero no se construyó de una manera que revelara cómo encadenarlo con CVE-2023-24955, o cualquier otro error de RCE, para lograr el exploit RCE previo a la autenticación que le valió a Jang su premio de 100.000 dólares en Pwn2Own. Los investigadores advirtieron en septiembre que la publicación del código PoC proporcionó una base a partir de la cual los ciberdelincuentes podrían crear un exploit que funcionara, y que era muy importante parchear ambas vulnerabilidades lo antes posible. Beaumont dijo en ese momento que esperaba que los ataques de ransomware que utilizaran las dos vulnerabilidades comenzaran «en [the] Las próximas semanas». La incorporación al catálogo KEV de CISA significa que a los ciberdelincuentes les ha llevado meses comenzar a explotar la vulnerabilidad, a pesar de contar con las herramientas básicas para hacerlo. Cuando se publica el código PoC para una vulnerabilidad determinada, los ataques generalmente se disparan en los días posteriores. Mientras los malos se apresuran a desarrollar exploits que funcionen antes de que las organizaciones puedan tapar los agujeros. El retraso, en este caso, podría explicarse por la dificultad que implica encadenar CVE-2023-29357 junto con CVE-2023-24955, una hazaña que, según Jang, le llevó a él y su equipo «casi un año de meticuloso esfuerzo e investigación» para lograrlo antes de demostrarlo en Pwn2Own. Microsoft abordó CVE-2023-29357 en junio y CVE-2023-24955 en mayo de 2023, pero se les recordó a los administradores de TI que simplemente aplicando la norma de junio Las actualizaciones del martes de parches de 2023 no protegerán automáticamente a sus organizaciones. Se requieren parches manuales específicos de SharePoint para garantizar que las correcciones se apliquen correctamente, ya que Windows Update no instalará los parches. La vulnerabilidad EOP en sí fue designada originalmente por Microsoft como «explotación». «más probable» con una complejidad de ataque «baja». «Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios de administrador», se lee en el aviso. Tampoco se ha actualizado desde junio para reflejar la explotación activa. «Un atacante que haya obtenido acceso a tokens de autenticación JWT falsificados puede usarlos para ejecutar un ataque de red que eluda la autenticación y le permita obtener acceso a los privilegios de un usuario autenticado. El atacante no necesita privilegios ni el usuario necesita realizar ningún acción.» CVE-2023-24955 también fue designado como estado de «explotación más probable» con una complejidad de ataque «baja», pero tenía una calificación menos grave de 7,2 debido a que se requieren privilegios para explotarlo de forma remota. Según un aviso de NHS Digital, actualmente no existe ningún código PoC conocido para la vulnerabilidad RCE que circule en línea, por lo que quienes la explotan lo habrán desarrollado ellos mismos y lo habrán mantenido en secreto, por ahora. ®

Source link