Microsoft SharePoint Server: RCE-Schwachstelle CVE-2024-21318 patchen, und alte CVE-2023-29357 wird angegriffen

Sicherheit (Pexels, allgemeine Nutzung)[English]Noch ein Nachtrag vom Januar 2024-Patchday zu Microsoft SharePoint Server. Ich hatte in den Patchday-Artikeln die SharePoint Server RCE-Schwachstelle CVE-2024-21318 angesprochen. Diese wurde mit den Sicherheitsupdates vom 9. Januar 2023 geschlossen. Es gibt eine zweite, bereits im Juni 2023 geschlossene, Elevation of Privilege-Schwachstelle CVE-2023-29357, für die ein Exploit bekannt ist. Die US CISA hat eine Warnung veröffentlicht, weil inzwischen Angriffe auf die RCE-Schwachstelle beobachtet wurden. Administratoren sollten also sicherstellen, dass ihre SharePoint-Server auf dem aktuellen Patchstand sind.


Anzeige

Die RCE-Schwachstelle CVE-2024-21318

Ich hatte es im Blog-Beitrag Microsoft Security Update Summary (9. Januar 2024) erwähnt, in Microsoft SharePoint Server gibt es die Remote Code Execution-Schwachstelle CVE-2024-21318. Im verlinkten Blog-Beitrag hatte ich auf Grund einer Tenable-Einstufung geschrieben, dass dieser Schwachstelle der CVEv3 Score 8.8 zugeordnet worden sei. Unter CVE-2024-21318 zeichnet Microsoft die Schwachstelle mit dem CVSS 3.1-Wert von  8.8 / 7.7 aus und kategorisiert das Ganze als "important" (wichtig). Die Ausnutzbarkeit wird als "Exploitation More Likely" eingestuft.

Ein authentifizierter Angreifer mit der Berechtigung "Site Owner" kann die Remote Code Execution-Schwachstelle (RCE) für einen Angriff ausnutzen, um beliebigen Code in das System einzuschleusen und diesen Code im Kontext von SharePoint Server auszuführen. Es besteht beim einem netzwerkbasierten Angriff das Risiko, dass ein authentifizierter Angreifer, der mindestens die Berechtigung eines Website-Besitzers besitzt, beliebigen Code schreiben, um Code remote auf dem SharePoint Server injizieren und ausführen kann.

Updates für Microsoft SharePoint Server Jan 2024

Die Updates für Microsoft SharePoint Server werden von Microsoft in einer Übersicht für Microsoft Office auf dieser Webseite (und hier für diesen Monat) aufgelistet. Da es zum 9. Januar 2024 keine Updates für die MSI-Versionen von Microsoft Office 2016 gab, habe ich auch die verfügbaren SharePoint-Updates bisher nicht im Blog dokumentiert:

Alle drei Updates korrigieren auch die bereits erwähnte RCE-Schwachstelle CVE-2024-21318. Details sind in den verlinkten KB-Artikeln dokumentiert.


Anzeige

Warnung der CISA vor Angriffen auf CVE-2023-29357

Mir war bereits gestern die Information zu einer Warnung der US-Behörde CISA (Cybersecurity and Infrastructure Defence Security Agency) untergekommen (siehe z.B. nachfolgendes Bild eines Posts auf BlueSky), die vor Angriffen auf die alte Schwachstelle CVE-2023-29357 in Microsoft SharePoint-Server warnt.

Hintergrund ist, dass die CISA die Schwachstelle CVE-2023-29357 in den Katalog der bekannten Schwachstellen aufgenommen hat, von denen bekannt ist, dass diese in Angriffen aktiv ausgenutzt werden. Administratoren sollten also überprüfen, ob der erforderliche Patch installiert ist. Nachfolgend finden sich noch einige Informationen aus dem Blog zu dieser Schwachstelle.

Die Schwachstelle CVE-2023-29357

Zur Schwachstelle CVE-2023-29357 hatte ich bereits im Blog-Beitrag Microsoft Security Update Summary (13. Juni 2023) etwas geschrieben. Es handelt sich um eine Elevation of Privilege EoP-Schwachstelle in Microsoft SharePoint Server, die mit dem CVEv3 Score 9.8 als kritisch eingestuft wurde. Ein entfernter, nicht authentifizierter Angreifer kann die Sicherheitsanfälligkeit ausnutzen, indem er ein gefälschtes JWT-Authentifizierungstoken an einen anfälligen Server sendet, wodurch er die Rechte eines authentifizierten Benutzers auf dem Ziel erhält.

Laut dem Advisory ist keine Benutzerinteraktion erforderlich, damit ein Angreifer diese Schwachstelle ausnutzen kann. Microsoft gibt auch Hinweise zur Behebung der Schwachstelle, die besagen, dass Benutzer, die Microsoft Defender in ihren SharePoint Server-Farmen verwenden und AMSI aktiviert haben, nicht betroffen sind.

CVE-2023-29357 wurde laut Microsofts Exploitability Index als "Exploitation More Likely" eingestuft. Laut der Zero Day Initiative (ZDI) von Trend Micro wurde CVE-2023-29357 während des Pwn2Own-Wettbewerbs in Vancouver im März bei einer erfolgreichen Demonstration eines verketteten Angriffs verwendet. ZDI merkt an, dass Microsoft zwar die Aktivierung von AMSI als Abhilfemaßnahme empfiehlt, aber "die Wirksamkeit dieser Maßnahme nicht getestet hat".

Sicherheitsupdates seit Juni 2023 verfügbar

Ich hatte im Blog-Beitrag Microsoft Office Updates (13. Juni 2023) auf die Sicherheitsupdates für Microsoft Sharepoint-Server vom Juni 2023 hingewiesen und die erforderlichen Updates auch aufgelistet.

Exploit seit Oktober 2023 öffentlich

Ich hatte bereits im Oktober 2023 im Blog-Beitrag Exploit für Microsoft SharePoint Server 2019 Authentifizierungs-Bypass veröffentlicht (Oktober 2023) erwähnt, dass ein Sicherheitsforscher einen Exploit für die längst patchbare Schwachstelle CVE-2023-29357 publiziert hatte. Der Sicherheitsforscher Nguyễn Tiến Giang (Jang) von StarLabs SG hatte einen Exploit für die Schwachstelle beim Pwn2Own-Hacking-Wettbewerb in Vancouver demonstriert und dafür 100.000 Dollar kassiert.

Ähnliche Artikel:
Office Update KB5002500 vom 2. Januar 2023 fixt OneNote 2016 Sync-Problem
Microsoft Security Update Summary (9. Januar 2024)
Patchday: Windows 10-Updates (9. Januar 2024)
Patchday: Windows 11/Server 2022-Updates (9. Januar 2024)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (9. Januar 2024)
Windows WinRE-Update gegen CVE-2024-20666 scheitert mit Installationsfehler 0x80070643 (Jan. 2024, KB5034441)

Microsoft Security Update Summary (13. Juni 2023)
Microsoft Office Updates (13. Juni 2023)
Exploit für Microsoft SharePoint Server 2019 Authentifizierungs-Bypass veröffentlicht (Oktober 2023)


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.