بهره برداری از آسیب پذیری حیاتی شیرپوینت مایکروسافت

SharePoint مایکروسافت چیست؟

سازمان ها از Microsoft SharePoint برای ایجاد وب سایت ها استفاده می کنند. می توانید از آن به عنوان مکانی امن برای ذخیره، سازماندهی، اشتراک گذاری و دسترسی به اطلاعات از هر دستگاهی استفاده کنید. تنها چیزی که نیاز دارید یک مرورگر وب مانند Microsoft Edge، Internet Explorer، Chrome یا Firefox است.

شیرپوینت می‌تواند به یک یا چند محصول یا فناوری شیرپوینت اشاره داشته باشد، از جمله:

SharePoint در Microsoft 365: یک سرویس مبتنی بر ابر، میزبانی شده توسط مایکروسافت، برای مشاغل در هر اندازه. به جای نصب و استقرار SharePoint Server در محل، هر کسب و کاری می تواند مشترک طرح Microsoft 365 یا سرویس مستقل SharePoint Online شود. کارمندان شما می توانند سایت هایی برای به اشتراک گذاری اسناد و اطلاعات با همکاران، شرکا و مشتریان ایجاد کنند.

SharePoint Server: سازمان‌ها می‌توانند شیرپوینت سرور را در محل یا با اشتراک Office 365 Enterprise استقرار و مدیریت کنند تا از آخرین ویژگی‌ها استفاده کنند. سرور شیرپوینت همچنین ویژگی‌ها و قابلیت‌های دیگری مانند صفحات سایت مدرن، بخش‌های وب و نگارش مدرن، فهرست‌ها و کتابخانه‌های مدرن، جستجوی مدرن، ادغام با PowerApps، Power BI و MS Flow را ارائه می‌دهد.

SharePoint Designer 2013: یک برنامه رایگان است که آخرین بار در سال 2013 منتشر شد. برای ساخت راه حل های قدرتمند و دارای جریان کار استفاده می شود. و برای ویرایش انواع محتوای خارجی برای راه حل داده های خارجی بر اساس خدمات اتصال تجاری استفاده می شود.

OneDrive sync: یک برنامه دسکتاپ است که می توانید برای همگام سازی اسناد از یک سایت تیمی یا OneDrive برای محل کار یا مدرسه با رایانه خود برای استفاده آفلاین استفاده کنید.

آسیب پذیری بالا بردن سطح دسترسی

بالا بردن سطح دسترسی  یک تکنیک حمله سایبری است که در آن یک مهاجم با استفاده از نقص های امنیتی، نقاط ضعف و آسیب پذیری ها در سیستم یک سازمان، دسترسی غیرمجاز به امتیازات بالاتر را به دست می آورد. این تلاش برای بالا بردن مجوزهای دسترسی با بهره برداری از اشکالات، نقص سیستم، رفتارهای انسانی، نظارت بر پیکربندی یا کنترل دسترسی ضعیف است. در بیشتر موارد، اولین حمله نفوذی برای دستیابی به سطح مورد نیاز دسترسی به داده ها کافی نیست. پس مهاجمان برای دسترسی عمیق تر به شبکه ها، دارایی ها و اطلاعات حساس به افزایش امتیازات روی می آورند.

 حملات بالا بردن سطح دسترسی برای به خطر انداختن عملیات تجاری با استخراج داده ها و ایجاد درهای پشتی انجام می شود. هدف از بالا بردن سطح دسترسی، به دست آوردن کنترل کامل بر سیستم یا شبکه، با هدف مخرب نقض امنیت، سرقت اطلاعات و… است. عاملان تهدیدی که این حملات را انجام می دهند می توانند هکرهای خارجی یا خودی باشند که با انجام یک حمله مهندسی اجتماعی مانند فیشینگ شروع می کنند تا از طریق سرقت اعتبار به شبکه ها و سیستم های رایانه ای دسترسی پیدا کنند. از آنجایی که حملات بالا بردن سطح دسترسی می تواند بر شهرت و تداوم کسب و کار تأثیر بگذارد، اقدامات استراتژیک باید برای پیشگیری، تشخیص زودهنگام و کاهش آن اعمال شود.

شاید برای شما سوال باشد که چه کسی نیاز دارد درباره آسیب پذیری بالا بردن سطح دسترسی اطلاع داشته باشد. پاسخ این است: همه !! هر کاربری که لاگین داشته باشد، مهم نیست که چقدر ابتدایی باشد، ممکن است قربانی اولیه شود. حملات فاجعه آمیز می توانند با به دست آوردن اعتبارنامه های معتبر از هر نوعی شروع شوند، بنابراین هر حساب در معرض خطر برای کل شبکه یک مشکل است.

مهاجمان معمولاً با استفاده از تکنیک مهندسی اجتماعی که بر دستکاری رفتار انسانی متکی است، بالا بردن سطح دسترسی را انجام می دهند. اساسی ترین آنها فیشینگ است (ارتباطات الکترونیکی که حاوی پیوندهای مضر است). هنگامی که یک مهاجم حساب یک فرد را در معرض خطر قرار می دهد، کل شبکه در معرض تهدید قرار می گیرد. مهاجمان به دنبال نقاط ضعف در دفاع سازمانی هستند که اجازه ورود اولیه یا امتیازات اولیه را از طریق سرقت اعتبار می دهد. بهره برداری از چنین آسیب پذیری ها، امتیازات بیشتری را امکان پذیر می کند.

اجرای کد از راه دور

اجرای کد از راه دور (RCE)  به دسته‌ای از حملات سایبری اطلاق می‌شود که در آن مهاجمان از راه دور دستوراتی را برای قرار دادن بدافزار یا سایر کدهای مخرب روی رایانه یا شبکه شما اجرا می‌کنند. در حمله RCE، نیازی به ورودی کاربر از جانب شما نیست. یک آسیب‌پذیری اجرای کد از راه دور می‌تواند داده‌های حساس کاربر را بدون نیاز هکرها به دسترسی فیزیکی به شبکه شما به خطر بیندازد.

به طور کلی حملات RCE سه مرحله دارند:

1 . هکرها یک آسیب پذیری را در سخت افزار یا نرم افزار شبکه شناسایی می کنند.

2 . در بهره برداری از این آسیب پذیری، آنها از راه دور کدهای مخرب یا بدافزار را روی دستگاه قرار می دهند.

3 . هنگامی که هکرها به شبکه شما دسترسی پیدا می کنند، داده های کاربر را به خطر می اندازند یا از شبکه شما برای اهداف غیرمجاز استفاده می کنند.

هنگامی که مهاجمان از طریق اجرای کد از راه دور به شبکه شما دسترسی پیدا کنند، امکاناتی که می توانند انجام دهند تقریباً نامحدود است. حملات RCE برای انجام همه چیز از استخراج کریپتو گرفته تا جاسوسی در سطح کشور مورد استفاده قرار گرفته است. به همین دلیل است که پیشگیری از RCE از اولویت بالایی در دنیای امنیت سایبری برخوردار است.

بهره برداری از اشکال بحرانی SharePoint مایکروسافت

مهاجمان اکنون از یک آسیب‌پذیری مهم بالا بردن سطح دسترسی مایکروسافت شیرپوینت استفاده می‌کنند که می‌تواند با یک باگ حیاتی دیگر برای اجرای کد از راه دور زنجیر شود.

این نقص امنیتی که به‌عنوان CVE-2023-29357 ردیابی می‌شود، به مهاجمان راه دور این امکان را می‌دهد تا با دور زدن احراز هویت با استفاده از توکن‌های جعلی JWT، امتیازات مدیریت را در سرورهای اصلاح‌نشده دریافت کنند.

مایکروسافت توضیح می دهد: مهاجمی که به توکن های جعلی احراز هویت JWT دسترسی پیدا کرده است می تواند از آنها برای اجرای یک حمله شبکه استفاده کند که احراز هویت را دور می زند و به آنها اجازه می دهد به امتیازات یک کاربر احراز هویت شده دسترسی پیدا کنند.مهاجمی که با موفقیت از این آسیب‌پذیری سوء استفاده کرد، می‌تواند امتیازات سرپرست را به دست آورد. مهاجم به هیچ امتیازی نیاز ندارد و کاربر نیازی به انجام هیچ اقدامی ندارد.

مهاجمان راه دور همچنین می‌توانند کد دلخواه را روی سرورهای شیرپوینت آسیب‌دیده از طریق تزریق دستور اجرا کنند و این نقص را با آسیب‌پذیری اجرای کد راه دور CVE-2023-24955 شیرپوینت سرور زنجیره‌ای کنند.

پیشنهاد می شود در اسرع وقت محصول شیرپوینت خود را به آخرین نسخه منتشر شده توسط مایکروسافت بروزرسانی نمایید تا از ریسک های موجود در امان باشید.