Onsdag tilføjede Cybersecurity and Infrastructure Security Agency (CISA) en privilegieeskaleringssårbarhed, der påvirker Microsoft SharePoint-servere, til sin liste over kendte udnyttede sårbarheder (KEV).
SharePoint er et populært, cloud-baseret dokumenthåndterings- og lagringssystem, som også på forskellig vis bruges af virksomheder til at implementere interne applikationer og forretningsprocesser og dele ressourcer via et intranet. Så sent som i 2020 nød det mere end 200 millioner aktive månedlige brugere.
Den seneste tilføjelse til KEV, CVE-2023-29357, er en "kritisk" 9.8 ud af 10 sårbarhed på CVSS-skalaen, der påvirker SharePoint Server 2016 og 2019. Uden brugerengagement påkrævet giver det en angriber mulighed for at omgå godkendelsestjek og få administrativ adgang til en server ved hjælp af spoofet JSON Web Token ( JWT) godkendelsestokens.
Forskere demonstrerede første gang nytten af CVE-2023-29357 ved marts 2023s Pwn2Own-begivenhed og kombinerede det med en anden SharePoint-sårbarhed til at skabe en succesfuld udnyttelseskæde - Og vinde $100,000 i processen. En anden uafhængig forsker udviklede en proof-of-concept (PoC) udnyttelse i september.
[Indlejret indhold]
microsoft udstedte en patch tilbage i juni. Det bliver dog stadig aktivt udnyttet, ifølge CISAs nye alarm. I en Mastodontpost torsdag, gav sikkerhedsforsker Kevin Beaumont lidt ekstra kontekst og skrev, at "Jeg er opmærksom på en ransomware-gruppe, der endelig har en fungerende udnyttelse til dette."
For organisationer, der stadig er i skudlinjen, kan juni-patchen være findes her.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/vulnerabilities-threats/cisa-adds-critical-microsoft-sharepoint-bug-kev-catalog
- :har
- :er
- 10
- 200
- 2016
- 2019
- 2020
- 2023
- 8
- 9
- a
- adgang
- Ifølge
- aktiv
- aktivt
- tilføjet
- Desuden
- Tilføjer
- administrative
- påvirker
- agentur
- tillader
- også
- am
- an
- ,
- og infrastruktur
- En anden
- applikationer
- AS
- At
- Godkendelse
- opmærksom på
- tilbage
- BE
- være
- Bit
- Bug
- virksomhed
- by
- bypass
- CAN
- katalog
- Kontrol
- kombinerer
- Virksomheder
- indhold
- sammenhæng
- skabe
- kritisk
- Cybersecurity
- demonstreret
- udviklet
- dokumentet
- dokumenthåndtering
- indlejret
- engagement
- optrapning
- begivenhed
- Exploit
- Exploited
- ekstra
- Endelig
- fyring
- Fornavn
- Til
- Gevinst
- gruppe
- Men
- HTTPS
- i
- gennemføre
- in
- uafhængig
- Infrastruktur
- interne
- IT
- ITS
- jpg
- json
- juni
- Jwt
- kendt
- seneste
- Line (linje)
- Liste
- ledelse
- Marts
- Mastodon
- microsoft
- million
- månedligt
- Ny
- NIST
- ingen
- of
- on
- ONE
- organisationer
- ud
- patch
- plato
- Platon Data Intelligence
- PlatoData
- PoC
- Populær
- Indlæg
- privilegium
- behandle
- Processer
- forudsat
- Pwn2Own
- ransomware
- for nylig
- påkrævet
- forsker
- Ressourcer
- s
- Scale
- Anden
- sikkerhed
- september
- server
- Servere
- Del
- Stadig
- opbevaring
- vellykket
- systemet
- end
- at
- denne
- til
- token
- Tokens
- anvendte
- Bruger
- ved brug af
- nytte
- via
- Sårbarheder
- sårbarhed
- web
- Onsdag
- som
- med
- arbejder
- skrivning
- youtube
- zephyrnet