Introducción
Microsoft SharePoint es una plataforma de colaboración empresarial ampliamente utilizada que facilita la integración perfecta de la información empresarial, permite compartir el trabajo, la colaboración, la organización de proyectos y capacidades de búsqueda eficaces. Sin embargo, como cualquier software sofisticado, también puede ser susceptible a vulnerabilidades de seguridad. En este blog, exploraremos una vulnerabilidad importante, a saber, la vulnerabilidad de elevación de privilegios de Microsoft SharePoint Server (CVE-2023-29357).
Vulnerabilidad
Esta vulnerabilidad gira en torno a un problema que permite a atacantes remotos no autenticados elevar sus privilegios en el sistema de destino.
Para comprender mejor esta vulnerabilidad, necesitamos entender qué es el token de autenticación JWT. JWT son las siglas de JSON Web Token, que es un estándar para representar reclamos de forma segura entre dos partes. Estos tokens están firmados digitalmente y pueden contener diversa información sobre el usuario o entidad que los posee. Cuando un usuario se autentica en SharePoint, recibe un token de autenticación JWT, que actúa como prueba digital de su identidad y permisos. La vulnerabilidad permite a los atacantes crear tokens JWT falsificados que pueden parecer legítimos a los servidores de SharePoint. Al crear dichos tokens y enviarlos a servidores vulnerables, los atacantes pueden eludir las comprobaciones de autenticación y obtener acceso no autorizado al sistema. A continuación, los atacantes engañan al sistema para que los trate como usuarios legítimos autenticados. Como resultado, los privilegios de los atacantes se elevan, concediéndoles acceso a recursos sensibles, datos o funcionalidades reservadas para usuarios autenticados.
Remediation
Los clientes que hayan activado la función de integración AMSI y utilicen Microsoft Defender en sus granjas de SharePoint Server están protegidos frente a esta vulnerabilidad. Para obtener más información, consulte
https://learn.microsoft.com/sharepoint/security-for-sharepoint-server/configure-amsi-integration
Implementación de la corrección
Actualice su base de datos de firmas IPS a la versión 3.0.165 y su base de datos de firmas AV a la versión 2.1.515 para asegurarse de que el Sistema de Prevención de Intrusiones (NIPS) y el Sistema de Detección de Brechas (BDS) de Hillstone Networks están equipados para detectar y proporcionar protección contra esta vulnerabilidad.
La información sobre esta vulnerabilidad también está disponible en Hillstone Networks iSource.