CVE-2023-29357

Microsoft SharePoint Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-01-10

Официальное описание

Microsoft SharePoint Server contains an unspecified vulnerability that allows an unauthenticated attacker, who has gained access to spoofed JWT authentication tokens, to use them for executing a network attack. This attack bypasses authentication, enabling the attacker to gain administrator privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-29357 представляет собой критическую уязвимость обхода аутентификации в Microsoft SharePoint Server (CVSS 9.8). Проблема заключается в некорректной валидации JWT-токенов (JSON Web Token). Злоумышленник может создать поддельный токен, используя алгоритм подписи none, или использовать другие недостатки проверки подлинности, что позволяет получить права администратора на ферме SharePoint без прохождения легитимной аутентификации. Данная уязвимость часто используется в цепочке с CVE-2023-24955 (RCE) для полного захвата сервера.

Как исправить

Основным способом устранения является установка обновлений безопасности (Security Updates), выпущенных Microsoft в июне 2023 года или позже.

  1. Определите текущую версию SharePoint Server и загрузите соответствующий патч:
  2. SharePoint Server 2019
  3. SharePoint Server Subscription Edition

  4. SharePoint Enterprise Server 2016

  5. Установите обновление на все серверы в ферме.

  6. После установки патча необходимо запустить мастер настройки SharePoint (PSConfig) для завершения процесса обновления базы данных. Выполните команду в PowerShell от имени администратора:

PSConfig.exe -cmd upgrade -inplace b2b -force -wait -skipRegisterAsDistributionWizard
  1. Убедитесь, что на серверах включена и правильно настроена функция AMSI (Antimalware Scan Interface), так как это является дополнительным требованием для защиты современных версий SharePoint.

Временные меры

Если немедленная установка патчей невозможна, рекомендуется принять следующие меры для снижения риска:

  1. Включите интеграцию AMSI в SharePoint Server (доступно для версий 2016/2019/Subscription Edition). Это поможет блокировать известные эксплойты. Выполните скрипт для активации:
$farm = Get-SPFarm
$farm.EnableAntimalwareScanning = $true
$farm.Update()

  1. Ограничьте доступ к портам SharePoint (по умолчанию 80, 443) на сетевом уровне, разрешив подключения только из доверенных сегментов сети.

  2. Настройте Web Application Firewall (WAF) для фильтрации подозрительных HTTP-заголовков Authorization, содержащих аномальные JWT-токены (например, с alg: none).

  3. Перезапустите IIS для применения изменений конфигурации:

iisreset /noforce
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей