La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha advertido que los atacantes ahora están explotando una vulnerabilidad crítica de escalada de privilegios de Microsoft SharePoint. La vulnerabilidad, rastreada como CVE-2023-29357, permite a los atacantes remotos obtener privilegios de administrador en servidores SharePoint sin parchear al eludir la autenticación utilizando tokens de autenticación JWT falsificados.
Explicación de la vulnerabilidad
La vulnerabilidad CVE-2023-29357 está en cómo SharePoint valida los tokens de autenticación JWT. Los tokens JWT son un tipo de token de acceso que se utiliza para autenticar a los usuarios en aplicaciones web. Los tokens JWT suelen estar firmados digitalmente para garantizar su autenticidad.
En el caso de la vulnerabilidad CVE-2023-29357, un atacante puede crear un token JWT falsificado que se vea idéntico a un token JWT válido. Si el servidor SharePoint no valida correctamente el token JWT, el atacante puede utilizarlo para obtener acceso a los recursos del servidor con los privilegios de un usuario autenticado.
Impacto potencial
El impacto potencial de la vulnerabilidad CVE-2023-29357 es significativo. Un atacante que haya obtenido privilegios de administrador en un servidor SharePoint puede realizar acciones maliciosas, como:
- Borrar o modificar datos.
- Instalar malware.
- Robar información confidencial.
Además, los atacantes también pueden encadenar esta vulnerabilidad con la vulnerabilidad de ejecución de código remoto de SharePoint Server (CVE-2023-24955) para ejecutar código arbitrario en servidores SharePoint comprometidos. Esto podría permitir a los atacantes tomar el control completo de un sistema SharePoint.
Medidas de mitigación:
Para mitigar el riesgo de esta vulnerabilidad, las organizaciones pueden tomar las siguientes medidas:
- Aplicar los parches de seguridad de Microsoft lo antes posible. Los parches para estas vulnerabilidades se lanzaron en junio y mayo de 2023.
- Monitoree sus entornos SharePoint para detectar signos de actividad maliciosa. Esto puede incluir:
- Cambios inusuales en los permisos de archivo o carpeta.
- Aparición de archivos o carpetas nuevos.
- Actividad inusual en el registro de eventos de SharePoint.
Además de las recomendaciones anteriores, las organizaciones también pueden tomar las siguientes medidas adicionales para reforzar la seguridad de sus entornos SharePoint:
- Utilice una solución de seguridad de SharePoint. Una solución de seguridad de SharePoint puede ayudar a proteger su entorno contra una variedad de amenazas, incluidas las vulnerabilidades.
- Implemente controles de acceso fuertes. Los controles de acceso fuertes pueden ayudar a restringir el acceso a los recursos de SharePoint solo a los usuarios autorizados.
- Realice simulacros de seguridad. Los simulacros de seguridad pueden ayudar a identificar y mitigar las vulnerabilidades en su entorno SharePoint.
Recomendaciones:
Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa.
Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos como lo es la ingeniería social y/o el phishing, a través de la implementación de programas online de concientización y capacitación. Para tener colaboradores conscientes de su rol en la seguridad que operen bajo una conducta que aporte a la ciberdefensa.
Adicionalmente, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digital de todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.
¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
- Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.
Fuentes
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1824/
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-29357