CVE-2023-29357 · Bilgilendirme

Microsoft SharePoint Server Privilege Escalation Vulnerability

CVE-2023-29357, Microsoft SharePoint Server'da JWT ile kimlik doğrulamasını geçerek yönetici erişimi sağlayan bir zafiyettir.

Üretici
Microsoft
Ürün
SharePoint Server
Seviye
Orta
Yayın Tarihi
02 Nisan 2026
Okuma
8 dk okuma

CVE-2023-29357: Microsoft SharePoint Server Privilege Escalation Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2023-29357, Microsoft SharePoint Server'da tespit edilen ciddi bir zafiyettir ve bu zafiyet, bir saldırganın spoof edilmiş JWT (JSON Web Token) kimlik doğrulama token'ları kullanarak kimlik doğrulama sürecini atlayarak yönetici ayrıcalıkları elde etmesine olanak tanımaktadır. Bu durum, özellikle geniş kuruluşlar için bir tehdit oluşturmakta ve bilinen güvenlik önlemlerini etkisiz hale getirmektedir. Zafiyetin kökenine inildiğinde, SharePoint Server'ın kimlik doğrulama mechanizmasında yer alan bir eksiklik olduğu anlaşılmaktadır. Bu eksiklik, saldırganların sistemde izinleri aşarak takım dosyalarına veya kritik verilere kolay bir erişim sağlaması anlamına gelmektedir.

Gerçek dünyadaki senaryolara baktığımızda, bu zafiyetin en fazla etkilendiği sektörlerin kamu, eğitim ve sağlık olduğu görülmektedir. Örneğin, bir eğitim kurumunun web tabanlı yönetim sistemi üzerinden kayıtların tutulduğu bir SharePoint uygulaması, bu tür bir saldırıya maruz kaldığında, öğrencilerin kişisel bilgileri veya ders kayıtları tehlikeye girmekte ve bu durum kimlik hırsızlığına yol açabilecek tehlikeli sonuçlar doğurmaktadır. Benzer şekilde, sağlık sektöründe, hastanelerin hasta kayıtları ve tıbbi bilgileri üzerinde denetim sağlaması gereken bir sistemde bu zafiyet, hasta gizliliğini ihlal edebilir.

Zafiyetin ticari etkileri de oldukça önemli olmakta. Birçok büyük ölçekli organizasyonda SharePoint, proje yönetimi, belge paylaşımı ve işbirliği amacıyla yoğun bir şekilde kullanılmaktadır. Bir saldırganın sistemdeki yetkileri artırması durumunda, organizasyonun bilgileri tehlikeye girmiş olur ve bu da hem finansal kayıplara hem de itibara büyük zarar verebilir. Ek olarak, zafiyetin keşfi sonrasında hızla uygulanan yamaların ve güvenlik önlemlerinin maliyetleri de göz önünde bulundurulmalıdır.

Microsoft'un bu zafiyetle ilgili yapmış olduğu açıklamalara rağmen, etkili bir düzeltme sağlanmadığı takdirde sistemin tüm bileşenlerinin güncel tutulması gerekliliği ortaya çıkmaktadır. İyi bir güvenlik politikası geliştirilmesi, düzenli olarak güvenlik testleri yapılması ve eğitimli güvenlik uzmanlarının görev alması, zafiyetin potansiyel etkilerini en aza indirmek için kritik öneme sahiptir.

Şirketlerin, bu tür CVE (Common Vulnerabilities and Exposures) kodları ile etiketlenmiş zafiyetleri takip etmeleri ve güvenlik açıklarını sistematik bir şekilde kapatmaları önemlidir. Ayrıca, zafiyetin etkilediği bileşenlerin yapılandırılması ve uygulama analizi, organizasyonların savunmalarını güçlendirmelerine yardımcı olacaktır.

Sonuç olarak, CVE-2023-29357 zafiyeti, SharePoint kullanıcıları için önemli bir risktir ve doğru önlemler alınmadığı takdirde büyük zararlar doğurabilmektedir. Uygulayıcılar, bu tür sorunları önlemek için proaktif bir yaklaşım sergilemelidir.

Teknik Sömürü (Exploitation) ve PoC

Microsoft SharePoint Server, birçok kurumsal kuruluş tarafından veri yönetimi ve işbirliği amaçlı kullanılan bir platformdur. Ancak, CVE-2023-29357 olarak bilinen bu güvenlik açığı, kötü niyetli aktörlerin sistem üzerinde yönetici ayrıcalıklarına ulaşmalarına olanak tanıyan tehlikeli bir zafiyettir. Bu zafiyet, yetkisiz bir kullanıcının geçersiz (spoofed) JWT (JSON Web Token) kimlik doğrulama jetonlarını kullanarak kimlik doğrulama sürecini atlatmasına ve sistem üzerinde istenmeyen işlemler gerçekleştirmesine olanak sağlar.

Bu açık, özellikle yetkili olmayan kişilerin, sistem üzerindeki mevcut güvenlik mekanizmalarını hiçe sayarak doğrudan yönetici haklarına sahip olabilmelerini sağlaması açısından kritik bir tehlike oluşturur. Bu nedenle, bu zafiyetin sömürülmesi durumunda yaşanabilecek sorunların boyutu oldukça büyüktür.

Sömürü işlemini gerçekleştirebilmek için öncelikle, kötü niyetli bir kullanıcının sistem üzerinde bazı ön koşulları sağlaması gerekmektedir. Bu sürecin ilk adımı, sistemdeki bir güvenlik açığını keşfetmektir. Bu tür bir saldırıda, kullanıcının açığı anlayabilmesi ve bu açığı nasıl kullanacağını planlaması önemlidir. Hedef sistemde uygun yetkilere ulaşmak için, özellikle JWT jetonlarının nasıl oluşturulduğunu ve kimlik doğrulama sürecini nasıl atlatacaklarını öğrenmeleri gerekmektedir.

JWT kullanarak sistemdeki güvenlik zaaflarını istismar etmek için şu adımları izleyebiliriz:

  1. JWT Tunelinin İncelenmesi: Kötü niyetli kullanıcının ilk olarak sistemden bir JWT almak için mevcut oturum açma mekanizmalarını incelemesi gerekiyor. Burada, başarılı bir oturum açma sürecini gerçekleştirebilmek için HTTP çağrıları hakkında bilgi edinmelidir.

  2. JWT Saldırısı: JWT token yapısı, JSON formatında olduğu için, bu token üzerinde yapılacak saldırılar için boşluklar bulunmaktadır. Dolayısıyla, kullanıcı kendine özgü geçersiz bir JWT oluşturarak bu token ile sistemdeki kimlik doğrulama sürecini atlatmak amacıyla bir modül geliştirebilir. Aşağıda basitleştirilmiş bir PoC kodu örneği verilmiştir.

import jwt

# JWT jetonunun oluşturulması
def generate_token():
    # Geçersiz bir kullanıcı bilgisi kullanılacak
    payload = {
        'user_id': 'admin',
        'iat': 1516239022
    }
    # Varsayılan JWT gizli anahtarı
    secret = 'your_secret_key'

    token = jwt.encode(payload, secret, algorithm='HS256')
    return token

# Saldırının başlatılması
valid_token = generate_token()
headers = {
    "Authorization": f"Bearer {valid_token}"
}

# Hedef sunucuya yapılacak istek
response = requests.get('http://target-sharepoint-server/api/protected/resource', headers=headers)

print(response.status_code)
print(response.json())

  1. Kimlik Doğrulama Aşamasının Atlatılması: Yukarıdaki kod parçası, kötü niyetli kullanıcının geçersiz bir JWT üreterek sunucuya gönderdiği bir HTTP isteğidir. Eğer bu token sunucu tarafında doğrulanmazsa, saldırganın kimliği doğrulanmış olur ve yönetici olarak yetkilere sahip olabilir.

  2. Ayrıcalıkların Kazanılması: Eğer saldırgan, kimlik doğrulama sürecini başarıyla atlatabilmişse, SharePoint Server üzerinde yönetici ayrıcalıklarına sahip olacaktır. Bunun sonucunda, sistem üzerinde dolandırıcılık, veri çalma, veya zararlı yazılımlar yükleme gibi eylemleri gerçekleştirme imkanına sahip olacaktır.

Sonuç olarak, Microsoft SharePoint Server’daki CVE-2023-29357 açığı, doğru şekilde istismar edildiğinde, kötü niyetli bir kullanıcının sisteme sızma ve yönetici gibi güçlü ayrıcalıklara erişim sağlamasına neden olabilecektir. Bu nedenle, organizasyonların bu tür zafiyetleri hızlı bir şekilde tespit edip düzeltmeleri büyük önem taşımaktadır. Güvenlik yamalarının zamanında uygulanması ve sistemlerin düzenli olarak gözden geçirilmesi, bu gibi saldırıların önüne geçilmesi için kritik öneme sahiptir.

Forensics (Adli Bilişim) ve Log Analizi

Microsoft SharePoint Server'daki CVE-2023-29357 zafiyeti, kötü niyetli bireylerin yetkisiz bir şekilde yöneticilik haklarına erişmesine olanak tanıyan ciddi bir güvenlik açığıdır. Bu tür bir zafiyet, özellikle büyük organizasyonlarda, bilgi sızıntıları ve veri hırsızlıkları gibi sonuçlarla karşılaşmanıza neden olabilir. Bu bağlamda, adli bilişim (forensics) ve log analizi kritik öneme sahiptir.

Öncelikle, bu tür bir saldırının tespit edilebilmesi için logların düzenli bir şekilde izlenmesi gerekmektedir. SharePoint sunucusunun çeşitli log dosyaları, sistemde gerçekleşen olayları ve kullanıcı etkileşimlerini kaydetmektedir. Bu loglar arasında access log (erişim günlüğü) ve error log (hata günlüğü) gibi önemli kaynaklar bulunmaktadır.

Kötü niyetli bir saldırgan, spoofed JWT (JSON Web Token) kimlik doğrulama token’larını kullanarak kimlik doğrulama sistemini atlatabilir (Auth Bypass). Dolayısıyla, bu tür bir saldırının belirtileri log dosyalarında nasıl ortaya çıkabilir? Öncelikle, log dosyalarında belirli imzaları (signature) aramak önemlidir.

Erişim günlüklerinde dikkat edilmesi gereken bazı noktalar:

  1. Anormal Erişim Talepleri: İlgili kullanıcıların veya sistemlerin erişim taleplerinin anormal bir şekilde artması, şüpheli etkinliklerin bir göstergesi olabilir. Örneğin, bir yöneticinin beklenmedik bir zamanda, sıradışı IP adreslerinden erişim sağlaması gözlemlenebilir. 
   [2023-10-15 12:34:56] INFO User admin logged in from 192.168.1.100
  1. Başarısız Giriş Denemeleri: Token’ların sahte olduğuna dair ipuçları, loglarda başarısız giriş denemelerinin artışıyla kendini gösterir. Saldırgan, doğru bilgiye sahip olmasa da sürekli denemeler yaparak sisteme girmeye çalışabilir. Loglarda bu tür aktiviteler genellikle şu şekilde görüntülenir:
   [2023-10-15 12:35:01] WARNING Failed login attempt for user admin from IP 192.168.1.101
  1. Normal Dışı Yetki İhlalleri: Kullanıcıların, normalde erişim izni olmayan bölümlere erişim sağlaması da loglarda gözlemlenmelidir. Özellikle, sistem yöneticisi veya kritik veri alanlarına yapılan heyecan verici erişimler dikkate alınmalıdır.
   [2023-10-15 12:40:00] ALERT User admin accessed confidential data at /admin/confidential

Hata günlükleri de kritik bilgiler sunabilir. İlgili hata mesajları, genellikle sistemin ne tür bir işlemin başarısız olduğunu ve hangi kullanıcıdan geldiğini gösterebilir. Özellikle kimlik doğrulama süreçlerinde oluşan hatalar, sahte token’ların kullanımını ortaya çıkarabilir.

Örneğin, hata günlüklerinde aşağıdaki gibi bir kayıt, sistemin bir token’ı reddettiğine dair bir gösterge olabilir:

[2023-10-15 12:41:13] ERROR Invalid token error for user admin

Son olarak, SharePoint sunucusunda yaşanan bu tür bir zafiyeti tespit etmek için sürekli olarak log analizi yapmak ve anormallikleri izlemek oldukça önemlidir. Belirtilen imzaların dışında, yüksek düzeyde yetki ile gerçekleşen işlemler, sık gerçekleşen hata mesajları ve olağan dışı IP adreslerinden gelen erişim taleplerinin mutlaka incelenmesi gerekmektedir. Siber güvenlik uzmanları, bu tür belirtileri hızlı bir şekilde tespit etmek için SIEM (Security Information and Event Management) sistemleri aracılığıyla logları analiz etmelidir.

Güvenlik açığı hakkında daha fazla bilgi edinmek ve organizasyonunuzu koruma altına almak için, düzenli güncellemeler, patch (yamanma) yönetimi ve güvenlik duvarı yönetimi gibi önlemler alınmalıdır.

Savunma ve Sıkılaştırma (Hardening)

Microsoft SharePoint Server, birçok kuruluşun iş süreçlerini yönetmesine yardımcı olan önemli bir platformdur. Ancak, CVE-2023-29357 olarak bilinen bir zafiyet, bilgisiz bir saldırganın JWT (JSON Web Token) kimlik doğrulamasını taklit etmesine ve sistem üzerinde yetki artırımı (privilege escalation) gerçekleştirmesine olanak tanımaktadır. Bu tür bir zafiyet, sistem yöneticisi düzeyinde erişim sağlanmasına yol açarak ciddi bir güvenlik riski teşkil etmektedir. Bu nedenle, bu açığı kapatmak için savunma ve sıkılaştırma (hardening) süreçlerine önem vermek gerekmektedir.

Bu zafiyeti kapatmanın birkaç yolu bulunmaktadır. Öncelikle, Microsoft'un sağladığı en son güncellemelerin uygulanması önemlidir. Güncellemeler, bilinen zafiyetleri gidermek için kritik öneme sahiptir. Örneğin, aşağıdaki gibi bir komut ile güncellemelerin kontrol edilmesi ve uygulanması sağlanabilir:

# Microsoft Update ile güncellemeleri kontrol et
wuauclt /detectnow

Bir diğer önemli önlem ise WAF (Web Application Firewall - Web Uygulama Güvenlik Duvarı) kurallarının tanımlanmasıdır. Belirli JS ve API çağrılarını inceleyerek, yetkisiz erişimi bloke edecek şekilde kurallar geliştirmek mümkündür. Örneğin:

# Örnek WAF kuralı, şüpheli JWT token'ları engeller
SecRule REQUEST_HEADERS:Authorization "your_jwt_pattern" "id:12345,phase:2,deny,status:403,msg:'Unauthorized JWT token'"

Güvenlik önlemleri arasında, JWT token’ların güvenliği için imzalanmış ve geçerlilik süreli olmaları sağlanmalıdır. Aksi halde, saldırganlar geçerli olmayan token'larla yetki artırımı gerçekleştirebilirler. Bu nedenle, uygulama tarafından kullanılan JWT token’ların yenilenme süresi kısaltılmalı ve token’ların şifrelenmesi sağlanmalıdır.

Ayrıca, sistemin izlenmesi ve anomalilerin tespiti için gelişmiş bir izleme çözümü kullanılmalıdır. Böylece yetkisiz erişim denemeleri veya olağan dışı aktiviteler anında tespit edilerek etkin bir yanıt verilebilir. Örneğin, kullanıcı giriş denemeleri izlenebilir ve aşırı deneme durumunda kullanıcı kilitlenebilir.

Kalıcı sıkılaştırma (hardening) önlemleri arasında, SharePoint sunucusunun barındırıldığı işletim sisteminin ve uygulamanın gereksiz bileşenlerinin kaldırılması, ağ sekmentasyonu ve erişim kontrollerinin sıkılaştırılması yer almaktadır. Sadece gerekli portların açık tutulması ve bu portlar üzerinden gelen trafiğin sıkı denetimi de önemlidir. Ayrıca, gerekli tüm güncellemelerin ve yamaların zamanında uygulanması, sistemin güvenliğini artıracaktır.

Son olarak, kullanıcı eğitimleri düzenlemek, sosyal mühendislik saldırılarına karşı farkındalık yaratmak önemli bir adım olacaktır. Kullanıcıların kimlik bilgilerini güvende tutma, yetkisiz erişim taleplerine karşı dikkatli olma gibi konularda bilgi sahibi olmaları, saldırı vektörlerinin azaltılmasına yardımcı olacaktır.

Sonuç olarak, CVE-2023-29357 zafiyeti, yalnızca teknik eksiklikler değil, aynı zamanda insan faktörleri açısından da ele alınması gereken bir durumdur. Yalnızca teknik önlemler almak yerine, tüm sistemin savunma mimarisini gözden geçirerek, sürekli bir güvenlik kültürü oluşturmak gerekmektedir.