روز چهارشنبه، آژانس امنیت سایبری و امنیت زیرساخت (CISA) یک آسیبپذیری افزایش امتیاز که سرورهای شیرپوینت مایکروسافت را تحت تأثیر قرار میدهد به فهرست آسیبپذیریهای شناخته شده مورد سوء استفاده (KEV) اضافه کرد.
شیرپوینت یک سیستم مدیریت اسناد و ذخیره سازی محبوب و مبتنی بر ابر است که شرکت ها نیز از آن برای پیاده سازی برنامه های داخلی و فرآیندهای تجاری و به اشتراک گذاری منابع از طریق اینترانت استفاده می کنند. همین اواخر در سال 2020، از آن لذت برد بیش از 200 میلیون کاربر فعال ماهانه.
آخرین افزوده شده به KEV، CVE-2023-29357، یک آسیبپذیری «بحرانی» با امتیاز 9.8 از 10 در مقیاس CVSS است که بر شیرپوینت سرور 2016 و 2019 تأثیر میگذارد. بدون نیاز به تعامل کاربر، این آسیبپذیری به مهاجم اجازه میدهد تا بررسیهای احراز هویت را دور بزند و با استفاده از JSON Web Token جعلی به سرور دسترسی داشته باشد. JWT) توکن های احراز هویت.
محققان برای اولین بار کاربرد CVE-2023-29357 را در رویداد Pwn2023Own در مارس 2 نشان دادند و آن را با یک آسیب پذیری دوم شیرپوینت برای ایجاد ترکیب کردند. یک زنجیره بهره برداری موفق - و برنده شدن 100,000 دلار در این فرآیند محقق مستقل دیگری توسعه یافت یک سوء استفاده اثبات مفهوم (PoC). در ماه سپتامبر.
[محتوای جاسازی شده]
مایکروسافت پچ صادر کرد در ژوئن با این حال، طبق گفتهها، هنوز به طور فعال مورد بهرهبرداری قرار میگیرد هشدار جدید CISA. به پست ماستودون در روز پنجشنبهکوین بومونت، محقق امنیتی، کمی زمینه اضافی را ارائه کرد و نوشت که "من از یک گروه باج افزار مطلع هستم که در نهایت یک اکسپلویت کاری برای این کار دارد."
برای سازمان هایی که هنوز در خط آتش هستند، پچ ژوئن می تواند باشد در اینجا پیدا کنید.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/vulnerabilities-threats/cisa-adds-critical-microsoft-sharepoint-bug-kev-catalog
- : دارد
- :است
- 10
- 200
- 2016
- 2019
- 2020
- 2023
- 8
- 9
- a
- دسترسی
- مطابق
- فعال
- فعالانه
- اضافه
- اضافه
- می افزاید:
- اداری
- موثر بر
- نمایندگی
- اجازه می دهد تا
- همچنین
- am
- an
- و
- و زیرساخت
- دیگر
- برنامه های کاربردی
- AS
- At
- تصدیق
- مطلع
- به عقب
- BE
- بودن
- بیت
- اشکال
- کسب و کار
- by
- گذرگاه
- CAN
- کاتالوگ
- چک
- ترکیب
- شرکت
- محتوا
- زمینه
- ایجاد
- بحرانی
- امنیت سایبری
- نشان
- توسعه
- سند
- مدیریت اسناد
- جاسازی شده
- نامزدی
- تشدید
- واقعه
- بهره برداری
- سوء استفاده قرار گیرد
- اضافی
- سرانجام
- تیر
- نام خانوادگی
- برای
- افزایش
- گروه
- اما
- HTTPS
- i
- انجام
- in
- مستقل
- شالوده
- داخلی
- IT
- ITS
- JPG
- json
- ژوئن
- Jwt
- شناخته شده
- آخرین
- لاین
- فهرست
- مدیریت
- مارس
- مادادون
- مایکروسافت
- میلیون
- ماهیانه
- جدید
- نیست
- نه
- of
- on
- ONE
- سازمان های
- خارج
- وصله
- افلاطون
- هوش داده افلاطون
- PlatoData
- پوک
- محبوب
- پست
- امتیاز
- روند
- فرآیندهای
- ارائه
- Pwn2Own
- باجافزار
- تازه
- ضروری
- پژوهشگر
- منابع
- s
- مقیاس
- دوم
- تیم امنیت لاتاری
- سپتامبر
- سرور
- سرور
- اشتراک گذاری
- هنوز
- ذخیره سازی
- موفق
- سیستم
- نسبت به
- که
- La
- این
- به
- رمز
- نشانه
- استفاده
- کاربر
- با استفاده از
- سودمندی
- از طريق
- آسیب پذیری ها
- آسیب پذیری
- وب
- چهار شنبه
- که
- با
- کارگر
- نوشته
- یوتیوب
- زفیرنت