{"id":290431,"date":"2024-01-13T09:14:38","date_gmt":"2024-01-13T08:14:38","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=290431"},"modified":"2024-01-13T10:55:39","modified_gmt":"2024-01-13T09:55:39","slug":"microsoft-sharepoint-server-rce-schwachstelle-cve-2024-21318-patchen-und-alte-cve-2023-29357-wird-angegriffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/01\/13\/microsoft-sharepoint-server-rce-schwachstelle-cve-2024-21318-patchen-und-alte-cve-2023-29357-wird-angegriffen\/","title":{"rendered":"Microsoft SharePoint Server: RCE-Schwachstelle CVE-2024-21318 patchen, und alte CVE-2023-29357 wird angegriffen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/01\/13\/microsoft-sharepoint-server-patch-for-rce-vulnerability-cve-2024-21318-and-cisa-warns-about-cve-2023-29357\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Noch ein Nachtrag vom Januar 2024-Patchday zu Microsoft SharePoint Server. Ich hatte in den Patchday-Artikeln die SharePoint Server RCE-Schwachstelle CVE-2024-21318 angesprochen. Diese wurde mit den Sicherheitsupdates vom 9. Januar 2023 geschlossen. Es gibt eine zweite, bereits im Juni 2023 geschlossene, Elevation of Privilege-Schwachstelle CVE-2023-29357, f\u00fcr die ein Exploit bekannt ist. Die US CISA hat eine Warnung ver\u00f6ffentlicht, weil inzwischen Angriffe auf die RCE-Schwachstelle beobachtet wurden. Administratoren sollten also sicherstellen, dass ihre SharePoint-Server auf dem aktuellen Patchstand sind.<\/p>\n<p><!--more--><\/p>\n<h2>Die RCE-Schwachstelle CVE-2024-21318<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/ad8a0010f1f24d00a823c61304f92bc1\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte es im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/09\/microsoft-security-update-summary-9-januar-2024\/\">Microsoft Security Update Summary (9. Januar 2024)<\/a> erw\u00e4hnt, in Microsoft SharePoint Server gibt es die Remote Code Execution-Schwachstelle <u><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2024-21318\" target=\"_blank\" rel=\"noopener\">CVE-2024-21318<\/a><\/u>. Im verlinkten Blog-Beitrag hatte ich auf Grund einer Tenable-Einstufung geschrieben, dass dieser Schwachstelle der CVEv3 Score 8.8 zugeordnet worden sei. Unter <u><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2024-21318\" target=\"_blank\" rel=\"noopener\">CVE-2024-21318<\/a><\/u> zeichnet Microsoft die Schwachstelle mit dem CVSS 3.1-Wert von\u00a0 8.8 \/ 7.7 aus und kategorisiert das Ganze als \"important\" (wichtig). Die Ausnutzbarkeit wird als \"Exploitation More Likely\" eingestuft.<\/p>\n<p>Ein authentifizierter Angreifer mit der Berechtigung \"Site Owner\" kann die Remote Code Execution-Schwachstelle (RCE) f\u00fcr einen Angriff ausnutzen, um beliebigen Code in das System einzuschleusen und diesen Code im Kontext von SharePoint Server auszuf\u00fchren. Es besteht beim einem netzwerkbasierten Angriff das Risiko, dass ein authentifizierter Angreifer, der mindestens die Berechtigung eines Website-Besitzers besitzt, beliebigen Code schreiben, um Code remote auf dem SharePoint Server injizieren und ausf\u00fchren kann.<\/p>\n<h3>Updates f\u00fcr Microsoft SharePoint Server Jan 2024<\/h3>\n<p>Die Updates f\u00fcr Microsoft SharePoint Server werden von Microsoft in einer \u00dcbersicht f\u00fcr Microsoft Office auf <a href=\"https:\/\/docs.microsoft.com\/en-us\/officeupdates\/office-updates-msi\" target=\"_blank\" rel=\"noopener\">dieser Webseite<\/a> (und <a href=\"https:\/\/support.microsoft.com\/help\/5002096\" target=\"_blank\" rel=\"noopener\">hier f\u00fcr diesen Monat<\/a>) aufgelistet. Da es zum 9. Januar 2024 keine Updates f\u00fcr die MSI-Versionen von Microsoft Office 2016 gab, habe ich auch die verf\u00fcgbaren SharePoint-Updates bisher nicht im Blog dokumentiert:<\/p>\n<ul>\n<li>SharePoint Server-Abonnementedition: <a href=\"https:\/\/support.microsoft.com\/de-de\/topic\/hinweise-zum-sicherheitsupdate-f%C3%BCr-sharepoint-server-subscription-edition-9-januar-2024-kb5002540-a34c5764-cd4a-484b-8bf1-cefd033f8d7e\" target=\"_blank\" rel=\"noopener\">KB5002540<\/a><\/li>\n<li>SharePoint Server 2019: <a href=\"https:\/\/support.microsoft.com\/de-de\/topic\/hinweise-zum-sicherheitsupdate-f%C3%BCr-sharepoint-server-2019-9-januar-2024-kb5002539-e81dbbc7-fd4e-46f2-9267-6de340f8c96d\" target=\"_blank\" rel=\"noopener\">KB5002539<\/a><\/li>\n<li>SharePoint Enterprise Server 2016: <a href=\"https:\/\/support.microsoft.com\/de-de\/topic\/hinweise-zum-sicherheitsupdate-f%C3%BCr-sharepoint-enterprise-server-2016-9-januar-2024-kb5002541-129d59ea-c575-44a2-a518-9a0f1b91880e\" target=\"_blank\" rel=\"noopener\">KB5002541<\/a><\/li>\n<\/ul>\n<p>Alle drei Updates korrigieren auch die bereits erw\u00e4hnte RCE-Schwachstelle <u><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2024-21318\" target=\"_blank\" rel=\"noopener\">CVE-2024-21318<\/a>.<\/u> Details sind in den verlinkten KB-Artikeln dokumentiert.<\/p>\n<h2>Warnung der CISA vor Angriffen auf CVE-2023-29357<\/h2>\n<p>Mir war bereits gestern die Information zu einer Warnung der US-Beh\u00f6rde CISA (Cybersecurity and Infrastructure Defence Security Agency) untergekommen (siehe z.B. nachfolgendes Bild eines Posts auf BlueSky), die vor Angriffen auf die alte Schwachstelle CVE-2023-29357 in Microsoft SharePoint-Server warnt.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2024\/01\/image-5.png\" \/><\/p>\n<p>Hintergrund ist, dass die CISA die Schwachstelle <u><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2023-29357\" target=\"_blank\" rel=\"noopener\">CVE-2023-29357<\/a><\/u> in den <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2024\/01\/10\/cisa-adds-one-known-exploited-vulnerability-catalog\" target=\"_blank\" rel=\"noopener\">Katalog der bekannten Schwachstellen<\/a> aufgenommen hat, von denen bekannt ist, dass diese in Angriffen aktiv ausgenutzt werden. Administratoren sollten also \u00fcberpr\u00fcfen, ob der erforderliche Patch installiert ist. Nachfolgend finden sich noch einige Informationen aus dem Blog zu dieser Schwachstelle.<\/p>\n<h3>Die Schwachstelle CVE-2023-29357<\/h3>\n<p>Zur Schwachstelle <u><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2023-29357\" target=\"_blank\" rel=\"noopener\">CVE-2023-29357<\/a><\/u> hatte ich bereits im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/06\/14\/microsoft-security-update-summary-13-juni-2023\/\">Microsoft Security Update Summary (13. Juni 2023)<\/a> etwas geschrieben. Es handelt sich um eine Elevation of Privilege EoP-Schwachstelle in Microsoft SharePoint Server, die mit dem CVEv3 Score 9.8 als kritisch eingestuft wurde. Ein entfernter, nicht authentifizierter Angreifer kann die Sicherheitsanf\u00e4lligkeit ausnutzen, indem er ein gef\u00e4lschtes JWT-Authentifizierungstoken an einen anf\u00e4lligen Server sendet, wodurch er die Rechte eines authentifizierten Benutzers auf dem Ziel erh\u00e4lt.<\/p>\n<p>Laut dem Advisory ist keine Benutzerinteraktion erforderlich, damit ein Angreifer diese Schwachstelle ausnutzen kann. Microsoft gibt auch Hinweise zur Behebung der Schwachstelle, die besagen, dass Benutzer, die Microsoft Defender in ihren SharePoint Server-Farmen verwenden und AMSI aktiviert haben, nicht betroffen sind.<\/p>\n<p>CVE-2023-29357 wurde laut Microsofts Exploitability Index als \"Exploitation More Likely\" eingestuft. Laut der Zero Day Initiative (ZDI) von Trend Micro wurde CVE-2023-29357 w\u00e4hrend des Pwn2Own-Wettbewerbs in Vancouver im M\u00e4rz bei einer erfolgreichen Demonstration eines verketteten Angriffs verwendet. ZDI merkt an, dass Microsoft zwar die Aktivierung von AMSI als Abhilfema\u00dfnahme empfiehlt, aber \"die Wirksamkeit dieser Ma\u00dfnahme nicht getestet hat\".<\/p>\n<h3>Sicherheitsupdates seit Juni 2023 verf\u00fcgbar<\/h3>\n<p>Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/06\/15\/microsoft-office-updates-13-juni-2023\/\">Microsoft Office Updates (13. Juni 2023)<\/a> auf die Sicherheitsupdates f\u00fcr Microsoft Sharepoint-Server vom Juni 2023 hingewiesen und die erforderlichen Updates auch aufgelistet.<\/p>\n<h3>Exploit seit Oktober 2023 \u00f6ffentlich<\/h3>\n<p>Ich hatte bereits im Oktober 2023 im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/10\/08\/exploit-fr-microsoft-sharepoint-server-2019-authentifizierungs-bypass-verffentlicht-oktober-2023\/\">Exploit f\u00fcr Microsoft SharePoint Server 2019 Authentifizierungs-Bypass ver\u00f6ffentlicht (Oktober 2023)<\/a> erw\u00e4hnt, dass ein Sicherheitsforscher einen Exploit f\u00fcr die l\u00e4ngst patchbare Schwachstelle CVE-2023-29357 publiziert hatte. Der Sicherheitsforscher Nguy\u1ec5n Ti\u1ebfn Giang (Jang) von StarLabs SG hatte einen Exploit f\u00fcr die Schwachstelle beim Pwn2Own-Hacking-Wettbewerb in Vancouver demonstriert und daf\u00fcr 100.000 Dollar kassiert.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/03\/office-update-kb5002500-vom-2-januar-2023-fixt-onenote-2015-sync-problem\/\">Office Update KB5002500 vom 2. Januar 2023 fixt OneNote 2016 Sync-Problem<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/09\/microsoft-security-update-summary-9-januar-2024\/\">Microsoft Security Update Summary (9. Januar 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/10\/patchday-windows-10-updates-9-januar-2024\/\">Patchday: Windows 10-Updates (9. Januar 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/10\/patchday-windows-11-server-2022-updates-9-januar-2024\/\">Patchday: Windows 11\/Server 2022-Updates (9. Januar 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/11\/windows-7-server-2008-r2-server-2012-r2-updates-9-januar-2024\/\">Windows 7\/Server 2008 R2; Server 2012 R2: Updates (9. Januar 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/11\/windows-winre-update-gegen-cve-2024-20666-scheitert-mit-installationsfehler-0x80070643-jan-2024-kb5034441\/\">Windows WinRE-Update gegen CVE-2024-20666 scheitert mit Installationsfehler 0x80070643 (Jan. 2024, KB5034441)<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2023\/06\/14\/microsoft-security-update-summary-13-juni-2023\/\">Microsoft Security Update Summary (13. Juni 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/06\/15\/microsoft-office-updates-13-juni-2023\/\">Microsoft Office Updates (13. Juni 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/10\/08\/exploit-fr-microsoft-sharepoint-server-2019-authentifizierungs-bypass-verffentlicht-oktober-2023\/\">Exploit f\u00fcr Microsoft SharePoint Server 2019 Authentifizierungs-Bypass ver\u00f6ffentlicht (Oktober 2023)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Noch ein Nachtrag vom Januar 2024-Patchday zu Microsoft SharePoint Server. Ich hatte in den Patchday-Artikeln die SharePoint Server RCE-Schwachstelle CVE-2024-21318 angesprochen. Diese wurde mit den Sicherheitsupdates vom 9. Januar 2023 geschlossen. Es gibt eine zweite, bereits im Juni 2023 geschlossene, &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/13\/microsoft-sharepoint-server-rce-schwachstelle-cve-2024-21318-patchen-und-alte-cve-2023-29357-wird-angegriffen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,185],"tags":[8446,7238,4328,4315],"class_list":["post-290431","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-update","tag-patchday-1-2024","tag-sharepoint","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/290431","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=290431"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/290431\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=290431"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=290431"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=290431"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}