เมื่อวันพุธที่ผ่านมา Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ในการยกระดับสิทธิ์ที่ส่งผลต่อเซิร์ฟเวอร์ Microsoft SharePoint ในรายการ Known Exploited Vulnerabilities (KEV)
SharePoint คือระบบการจัดการเอกสารและการจัดเก็บเอกสารบนคลาวด์ที่ได้รับความนิยม ซึ่งบริษัทต่างๆ ยังใช้กันอย่างแพร่หลายเพื่อปรับใช้แอปพลิเคชันภายในและกระบวนการทางธุรกิจ และแบ่งปันทรัพยากรผ่านอินทราเน็ต เมื่อเร็ว ๆ นี้ในปี 2020 มันมีความสุข มีผู้ใช้งานมากกว่า 200 ล้านรายต่อเดือน.
ผลิตภัณฑ์ใหม่ล่าสุดของ KEV CVE-2023-29357เป็นช่องโหว่ “ร้ายแรง” 9.8 เต็ม 10 ในระดับ CVSS ซึ่งส่งผลกระทบต่อ SharePoint Server 2016 และ 2019 โดยไม่จำเป็นต้องมีส่วนร่วมกับผู้ใช้ จึงอนุญาตให้ผู้โจมตีข้ามการตรวจสอบการรับรองความถูกต้องและรับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบไปยังเซิร์ฟเวอร์โดยใช้ JSON Web Token ที่ปลอมแปลง ( JWT) โทเค็นการรับรองความถูกต้อง
นักวิจัยได้สาธิตยูทิลิตี้ของ CVE-2023-29357 เป็นครั้งแรกในงาน Pwn2023Own เมื่อเดือนมีนาคม 2 โดยผสมผสานเข้ากับช่องโหว่ที่สองของ SharePoint เพื่อสร้าง ห่วงโซ่การหาประโยชน์ที่ประสบความสำเร็จ - และ ชนะรางวัล 100,000 ดอลลาร์ ในกระบวนการ. นักวิจัยอิสระอีกคนหนึ่งได้พัฒนาขึ้น การใช้ประโยชน์จากการพิสูจน์แนวคิด (PoC) ในเดือนกันยายน
[เนื้อหาฝัง]
ไมโครซอฟท์ ออกแพทช์ ย้อนกลับไปในเดือนมิถุนายน อย่างไรก็ตาม มันยังคงถูกเอาเปรียบอย่างแข็งขัน การแจ้งเตือนใหม่ของ CISA. ใน โพสต์ Mastodon ในวันพฤหัสบดีนักวิจัยด้านความปลอดภัย Kevin Beaumont ให้บริบทเพิ่มเติมเล็กน้อยโดยเขียนว่า “ฉันทราบถึงกลุ่มแรนซัมแวร์กลุ่มหนึ่งที่ในที่สุดก็สามารถใช้ประโยชน์จากสิ่งนี้ได้”
สำหรับองค์กรที่ยังอยู่ในแนวรุก แพตช์เดือนมิถุนายนก็สามารถทำได้ พบได้ที่นี่.
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/vulnerabilities-threats/cisa-adds-critical-microsoft-sharepoint-bug-kev-catalog
- :มี
- :เป็น
- 10
- 200
- 2016
- 2019
- 2020
- 2023
- 8
- 9
- a
- เข้า
- ตาม
- คล่องแคล่ว
- อย่างกระตือรือร้น
- ที่เพิ่ม
- นอกจากนี้
- เพิ่ม
- การบริหาร
- น่าสงสาร
- บริษัท ตัวแทน
- ช่วยให้
- ด้วย
- am
- an
- และ
- และโครงสร้างพื้นฐาน
- อื่น
- การใช้งาน
- AS
- At
- การยืนยันตัวตน
- ทราบ
- กลับ
- BE
- กำลัง
- บิต
- Bug
- ธุรกิจ
- by
- ทางอ้อม
- CAN
- แค็ตตาล็อก
- การตรวจสอบ
- การรวมกัน
- บริษัท
- เนื้อหา
- สิ่งแวดล้อม
- สร้าง
- วิกฤติ
- cybersecurity
- แสดงให้เห็นถึง
- พัฒนา
- เอกสาร
- การจัดการเอกสาร
- ที่ฝัง
- มีส่วนร่วม
- การเพิ่ม
- เหตุการณ์
- เอาเปรียบ
- ใช้ประโยชน์
- พิเศษ
- ในที่สุด
- ยิง
- ชื่อจริง
- สำหรับ
- ได้รับ
- บัญชีกลุ่ม
- อย่างไรก็ตาม
- HTTPS
- i
- การดำเนินการ
- in
- อิสระ
- โครงสร้างพื้นฐาน
- ภายใน
- IT
- ITS
- jpg
- JSON
- มิถุนายน
- จ.ว
- ที่รู้จักกัน
- ล่าสุด
- Line
- รายการ
- การจัดการ
- มีนาคม
- สัตว์แมสทอดอน
- ไมโครซอฟท์
- ล้าน
- รายเดือน
- ใหม่
- NIST
- ไม่
- of
- on
- ONE
- องค์กร
- ออก
- ปะ
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- PoC
- ยอดนิยม
- โพสต์
- สิทธิพิเศษ
- กระบวนการ
- กระบวนการ
- ให้
- Pwn2Own
- ransomware
- เมื่อเร็ว ๆ นี้
- จำเป็นต้องใช้
- นักวิจัย
- แหล่งข้อมูล
- s
- ขนาด
- ที่สอง
- ความปลอดภัย
- กันยายน
- เซิร์ฟเวอร์
- เซิร์ฟเวอร์
- Share
- ยังคง
- การเก็บรักษา
- ที่ประสบความสำเร็จ
- ระบบ
- กว่า
- ที่
- พื้นที่
- นี้
- ไปยัง
- โทเค็น
- ราชสกุล
- มือสอง
- ผู้ใช้งาน
- การใช้
- ประโยชน์
- ผ่านทาง
- ช่องโหว่
- ความอ่อนแอ
- เว็บ
- วันพุธ
- ที่
- กับ
- การทำงาน
- การเขียน
- YouTube
- ลมทะเล