SharePoint の脆弱性 CVE-2023-29357／CVE-2023-24955：PoC エクスプロイトが登場

Researchers Release Details of New RCE Exploit Chain for SharePoint

2023/09/28 DarkReading — Microsoft SharePoint Server に存在する、２つの深刻な脆弱性を発見した研究者たちが、それらを連鎖させることで、影響を受けるサーバ上でのリモート・コード実行を可能にする、エクスプロイトの詳細を公開した。それとは別に、今週には別のセキュリティ研究者が、SharePoint の脆弱性に関する PoC エクスプロイトコードを GitHub に投稿し、この欠陥を悪用して脆弱なシステムの管理者権限を取得する方法を示している。

２つの深刻な脆弱性

脆弱性 CVE-2023-29357 は、Microsoft が６月の月例セキュリティ更新プログラムでパッチを発行した、SharePoint Server 2019 に存在する特権昇格の欠陥である。この脆弱性の悪用に成功した未認証の攻撃者は、なりすましの JSON Web Token (JWT) を用いて認証チェックを迂回し、影響を受ける SharePoint サーバの管理者権限を取得する。この攻撃パターンにおいては、特権を必要とせず、ユーザーとの対話も不要である。

もう１つの CVE-2023-24955 は、Microsoft が５月にパッチを適用したリモートコード実行 (RCE) の脆弱性である。その悪用に成功したリモートの攻撃者は、SharePoint Sever 2019／2016 および SharePoint Server Subscription Edition 上で、任意のコード実行を可能にする。

この２つの脆弱性について Microsoft は、どちらも深刻度が高く、今後の数カ月以内に脅威アクターたちが悪用する可能性が高いと説明している。NIST の NVD では、CVE-2023-29357 の深刻度は 9.8 であり、CVE-2023-24955 は 7.3 となっている。インターネット・スキャンを提供する Censys によると、現在において、これらの脆弱性の影響を受ける可能性のは、インターネットに露出した SharePoint サーバは 100,00台以上あるとのことだ。

事前認証 RCE エクスプロイト・チェーン

今週に２つの脆弱性を Microsoft に報告したのは、シンガポールに拠点を置く StarLabs の研究者たちである。彼らは、影響を受けるシステム上で事前認証 RCE を発生させるために、この脆弱性を用いるというエクスプロイト・チェーンの詳細を発表した。彼らは、３月に開催された Pwn2own Vancouver で、このエクスプロイトを初めて実演している。

研究者の１人は技術論文の中で、まず SharePoint Server 2019 インスタンスの管理者権限を持つユーザーになりすますために、”None” 署名アルゴリズムを使用して有効な JWT トークンを偽装する方法を説明している。”None” 署名アルゴリズムが意味するのは、基本的に JWT トークンがデジタル署名されていないであり、検出されずに変更が可能なことである。その後に、StarLabs の研究者たちは、脆弱性 CVE-2023-24955 を介して任意のコードを注入するために、これらの権限を使用するための方法を説明している。StarLabs のセキュリティ研究者である Nguyễn Tiến Giang は、「２つのバグを連鎖させることで、認証されていない攻撃者が、ターゲットの SharePointサーバ上でリモートコード実行 (RCE) を可能にする」と述べている。

GitHub 上の別の PoC

これとは別に、フランスの Oteria Cyber School の学生であり、独立系セキュリティ研究者でもある Valentin Lobstein も、今週に GitHub に PoC エクスプロイト・コードを投稿し、攻撃者が CVE-2023-29357 を介して、パッチ未適用の SharePoint Server 2019 システム上で管理者権限を取得する方法を示している。Lobstein のエクスプロイトは、純粋に特権の昇格に焦点を当てたものだが、CVE-2023-29357 と CVE-2023-24955 を連鎖させることで、影響を受ける SharePoint Server の機密性／完全性／可用性を侵害することができるという。

彼は、「この悪用スクリプトは、認証済みユーザーへのなりすましを容易にするため、SharePoint アプリケーション・プール および サーバファーム・アカウントのコンテキスト内で、攻撃者が任意のコードを実行して、サービス拒否 (DoS) を引き起こす可能性がある。つまり、攻撃者が昇格した権限で管理者ユーザーの詳細にアクセスすることになるが、影響を受けるシステム上で RCE を有効化する方法は示していない」と述べている。

Lobstein は Dark Reading へのコメントで、「この PoC は、今週に StarLabs の研究者たちが公表したものとは異なる。ベトナムのセキュリティ企業 VNPT Information Technology Company の研究者たちが、8月31日に公開した別の PoC でも、攻撃者は “None” アルゴリズムを使って JWT トークンを偽装し、特権を昇格させる方法を示している。この攻撃者が、管理者権限で操作している場合には、いくつかの深刻な事態が想像できる。悪意のある管理者が操作する、データの削除／破損や、機密データの流出に加えて、ユーザー／グループの権限変更が、SharePoint 環境に広範な混乱を引き起こすだろう」と述べている。

Microsoft は、Dark Reading かたのコメント要請に即座に応じなかった。以前に同社は、脆弱性 CVE-2023-29357 への対策として、SharePoint の Anti-Malware Scan Interface (AMSI) 統合機能を有効化し、Microsoft Defender を使用するよう推奨している。

SOCRadar のブログには、「特に SharePoint Server 2019 を使用している組織にとって、早急な対策が不可欠である。このエクスプロイトが、一般に公開されたことで、脅威アクターたちによる悪用の可能性が大幅に高まった」と述べている。

SharePoint に PoC エクスプロイトが途上とのことなので、ご利用のチームは、パッチ適用をご確認ください。SharePoint に関するインシデント記事は、それほど多くはなく、このブログでも、2023/03/23 の「SharePoint を狙うフィッシング活動を発見：欧米の 1600 人の個人がターゲット」と、2023/04/24 の「Microsoft 365 における検索不能の問題：Outlook／Teams／SharePoint などに影響」があるだけでした。よろしければ、ご参照ください。