Biuro Porad Prawnych
Oskar Zacharski

ul. Żwirki i Wigury 33/43
26-600 Radom

NIP: 7962987711

600 784 526

o.zacharski@bppz.pl

CISA alarmuje: luka w zabezpieczeniach Microsoft SharePoint

CISA, Cybersecurity and Infrastructure Security Agency, Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury.

Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) podniosła alarm dotyczący poważnej luki w zabezpieczeniach, która dotyka serwer Microsoft SharePoint. Zagrożenie zostało dodane do katalogu Known Exploited Vulnerabilities (KEV) z uwagi na dowody aktywnego wykorzystywania.

Bezpłatna porada RODO

Masz pytanie dotyczące ochrony danych osobowych ale nie zależy Ci na wielostronicowej opinii prawnej? Zamów bezpłatną poradę w zakresie RODO i otrzymaj krótką i zwięzłą odpowiedź od ręki!

CVE-2023-29357: błąd eskalacji uprawnień

Opisywana luka, oznaczona jako CVE-2023-29357 (ocena CVSS: 9.8), to błąd eskalacji uprawnień, który może być wykorzystany przez potencjalnego atakującego do uzyskania uprawnień administratora. Firma Microsoft już w czerwcu 2023 roku udostępniła łatki naprawiające tę usterkę w ramach aktualizacji Patch Tuesday.

JWT, czyli sposób na ominięcie autoryzacji

Zgodnie z zebranymi informacjami atakujący, który uzyskał dostęp do sfałszowanych tokenów autoryzacji JWT, może ich użyć do przeprowadzenia ataku sieciowego, który omija autoryzację i pozwala mu uzyskać dostęp do uprawnień uwierzytelnionego użytkownika.

Przeczytaj także: ChatGPT odczyta twoje dane z tego, co mu napiszesz

Co istotne w takim przypadku atakujący nie potrzebuje mieć żadnych uprawnień, a sam użytkownik nie musi wykonać żadnego konkretnego działania.

Pwn2Own to konkurs hakerski, który odbywa się corocznie na konferencji bezpieczeństwa CanSecWest.

Konkurs hakerski Pwn2Own

Podczas konkursu hakerskiego Pwn2Own Vancouver w zeszłym roku Nguyễn Tiến Giang (Jang) z firmy StarLabs SG zademonstrował wykorzystanie luki, co zaowocowało zdobyciem nagrody w wysokości 100 000 dolarów.

Łańcuch zdalnego wykonania kodu z autoryzacją przedoperacyjną łączy błąd pominięcia autoryzacji (CVE-2023-29357) z błędem wstrzykiwania kodu (CVE-2023-24955, ocena CVSS: 7.2). Ten ostatni został już naprawiony przez Microsoft w maju 2023 roku.

Bezpieczeństwo użytkowników Microsoft

Jak twierdzi przedstawiciel Microsoftu firma w czerwcu ubiegłego roku wydała poprawkę dla CVE-2023-29357. Klienci korzystający z automatycznych aktualizacji oraz opcji „Otrzymuj aktualizacje dla innych produktów Microsoft” w ustawieniach Windows Update są już bezpieczni.

Przeczytaj także: Zgodność z RODO cały czas musi być priorytetem.

W obliczu tego zagrożenia, ważne jest, aby wszyscy użytkownicy i administratorzy systemów Microsoft SharePoint podjęli niezbędne kroki w celu zabezpieczenia swoich systemów przed potencjalnymi atakami. Przypominamy, że bezpieczeństwo danych i infrastruktury IT jest priorytetem, a stosowanie łatek zgodnie z zaleceniami dostawcy jest kluczowe dla utrzymania integralności systemów informatycznych.

Źródło: The Hacker News

| Redakcja BPPZ.pl