{"id":286774,"date":"2023-10-08T00:05:00","date_gmt":"2023-10-07T22:05:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=286774"},"modified":"2023-10-08T01:08:16","modified_gmt":"2023-10-07T23:08:16","slug":"exploit-fr-microsoft-sharepoint-server-2019-authentifizierungs-bypass-verffentlicht-oktober-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/10\/08\/exploit-fr-microsoft-sharepoint-server-2019-authentifizierungs-bypass-verffentlicht-oktober-2023\/","title":{"rendered":"Exploit für Microsoft SharePoint Server 2019 Authentifizierungs-Bypass veröffentlicht (Oktober 2023)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Ich stelle mal eine kurze Information f\u00fcr Sharepoint-Administratoren hier im Blog ein. Microsoft hat bereits im Juni 2023 eine Schwachstelle zur Umgehung der Authentifizierung (CVE-2023-29357) ver\u00f6ffentlicht. Die Schwachstelle kann also per Update geschlossen werden. Nun hat ein Sicherheitsforscher einen Exploit zur Ausnutzung der Schwachstelle \u00f6ffentlich gemacht.<\/p>\n

<\/p>\n

Hinweise bereits im Juni 2023<\/h2>\n

\"\"Ich hatte bereits im Juni 2023 im Beitrag Microsoft Security Update Summary (13. Juni 2023)<\/a> auf die Schwachstelle CVE-2023-29357 hingewiesen.<\/p>\n

CVE-2023-29357<\/a><\/u>: Microsoft SharePoint Server Elevation of Privilege Vulnerability,\u00a0 CVEv3 Score 9.8, critical; Es ist eine EoP-Schwachstelle in Microsoft SharePoint Server 2019, die mit einem CVSSv3-Score von 9,8 als kritisch eingestuft wurde.<\/p><\/blockquote>\n

Ein entfernter, nicht authentifizierter Angreifer kann die Sicherheitsanf\u00e4lligkeit ausnutzen, indem er ein gef\u00e4lschtes JWT-Authentifizierungstoken an einen anf\u00e4lligen Server sendet. Dadurch erh\u00e4lt der Angreifer die Rechte eines authentifizierten Benutzers auf dem Zielsystem. Laut dem Advisory ist keine Benutzerinteraktion erforderlich, damit ein Angreifer diese Schwachstelle ausnutzen kann.<\/p>\n

Microsoft gibt auch Hinweise zur Behebung der Schwachstelle, die besagen, dass Benutzer, die Microsoft Defender in ihren SharePoint Server-Farmen verwenden und AMSI aktiviert haben, nicht betroffen sind. CVE-2023-29357 wurde laut Microsofts Exploitability Index als \"Exploitation More Likely\" eingestuft. Die Schwachstelle wurde mit den Juni 2023 Updates f\u00fcr SharePoint-Server geschlossen (siehe auch Microsoft Office Updates (13. Juni 2023)<\/a>, Update KB5002402 SharePoint Server 2019).<\/p>\n

Laut der Zero Day Initiative (ZDI) von Trend Micro wurde CVE-2023-29357 w\u00e4hrend des Pwn2Own-Wettbewerbs in Vancouver im M\u00e4rz bei einer erfolgreichen Demonstration eines verketteten Angriffs verwendet. ZDI merkt an, dass Microsoft zwar die Aktivierung von AMSI als Abhilfema\u00dfnahme empfiehlt, aber \"die Wirksamkeit dieser Ma\u00dfnahme nicht getestet hat\".<\/p>\n

Exploit ver\u00f6ffentlicht<\/h2>\n

Nguy\u1ec5n Ti\u1ebfn Giang aus Vietnam hat zum 25. September 2023 eine technische Analyse der Schwachstelle im Beitrag [P2O Vancouver 2023] SharePoint Pre-Auth RCE chain (CVE-2023\u201329357 & CVE-2023\u201324955)<\/a> ver\u00f6ffentlicht. Zum 2. Oktober 2023 schreibt jemand auf Twitter, dass es gelungen sei, die Schwachstellen CVE-2023-29357 und CVE-2023-24955 in Microsoft SharePoint 2019 gezielt auszunutzen. Die Verkettung der Schwachstellen erm\u00f6glicht es nicht authentifizierten Benutzern beliebige Befehle auf dem Server auszuf\u00fchren.<\/p>\n

\"SharePoint<\/a><\/p>\n

Die Leute fordern Administratoren auf, die SharePoint Server 2019 so schnell wie m\u00f6glich zu aktualisieren. Wer zeitnah patcht, sollte allerdings unter Microsoft SharePoint Server 2019 bez\u00fcglich CVE-2023-29357<\/a> gesch\u00fctzt sein. Die Kollegen von Bleeping Computer haben in diesem Artikel<\/a> noch einige Informationen rund um das Thema zusammen getragen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich stelle mal eine kurze Information f\u00fcr Sharepoint-Administratoren hier im Blog ein. Microsoft hat bereits im Juni 2023 eine Schwachstelle zur Umgehung der Authentifizierung (CVE-2023-29357) ver\u00f6ffentlicht. Die Schwachstelle kann also per Update geschlossen werden. Nun hat ein Sicherheitsforscher einen Exploit … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[7238,4328],"class_list":["post-286774","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sharepoint","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/286774","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=286774"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/286774\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=286774"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=286774"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=286774"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}