بدھ کو، سائبرسیکیوریٹی اور انفراسٹرکچر سیکیورٹی ایجنسی (CISA) نے مائیکروسافٹ شیئرپوائنٹ سرورز کو متاثر کرنے والے استحقاق میں اضافے کے خطرے کو اپنی معروف استحصالی خطرات (KEV) کی فہرست میں شامل کیا۔
شیئرپوائنٹ ایک مقبول، کلاؤڈ بیسڈ دستاویز مینجمنٹ اور اسٹوریج سسٹم ہے، جسے کمپنیاں اندرونی ایپلی کیشنز اور کاروباری عمل کو لاگو کرنے، اور انٹرانیٹ کے ذریعے وسائل کا اشتراک کرنے کے لیے مختلف طریقے سے استعمال کرتی ہیں۔ حال ہی میں 2020 کے طور پر، اس کا لطف اٹھایا 200 ملین سے زیادہ فعال ماہانہ صارفین.
KEV میں تازہ ترین اضافہ، CVE-2023-29357, CVSS پیمانے پر 9.8 میں سے 10 کمزوری ہے، جو SharePoint Server 2016 اور 2019 کو متاثر کرتی ہے۔ بغیر کسی صارف کی مصروفیت کے، یہ حملہ آور کو اجازت دیتا ہے کہ وہ تصدیقی چیک کو نظرانداز کر سکے اور جعلی JSON ویب ٹوکن کا استعمال کرتے ہوئے سرور تک انتظامی رسائی حاصل کر سکے۔ JWT) تصدیقی ٹوکن۔
محققین نے پہلی بار مارچ 2023 کے Pwn29357Own ایونٹ میں CVE-2023-2 کی افادیت کا مظاہرہ کیا، اور اسے شیئرپوائنٹ کے دوسرے خطرے کے ساتھ جوڑ کر تخلیق کیا ایک کامیاب استحصالی سلسلہ - اور $100,000 جیتنا دوران عمل. ایک اور آزاد محقق تیار ہوا۔ تصور کا ثبوت (PoC) استحصال ستمبر میں.
[سرایت مواد]
مائیکروسافٹ ایک پیچ جاری کیا جون میں واپس. تاہم، کے مطابق، یہ اب بھی فعال طور پر استحصال کیا جا رہا ہے CISA کا نیا الرٹہے. میں جمعرات کو ایک مستوڈن پوسٹ، سیکیورٹی محقق کیون بیومونٹ نے تھوڑا سا اضافی سیاق و سباق فراہم کرتے ہوئے لکھا ہے کہ "میں ایک رینسم ویئر گروپ سے واقف ہوں جس کے پاس آخر کار اس کے لئے کام کرنے والا استحصال ہے۔"
ان تنظیموں کے لیے جو اب بھی فائرنگ کی لکیر میں ہیں، جون پیچ ہو سکتا ہے۔ یہاں پایا.
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/vulnerabilities-threats/cisa-adds-critical-microsoft-sharepoint-bug-kev-catalog
- : ہے
- : ہے
- 10
- 200
- 2016
- 2019
- 2020
- 2023
- 8
- 9
- a
- تک رسائی حاصل
- کے مطابق
- فعال
- فعال طور پر
- شامل کیا
- اس کے علاوہ
- جوڑتا ہے
- انتظامی
- کو متاثر
- ایجنسی
- کی اجازت دیتا ہے
- بھی
- am
- an
- اور
- اور بنیادی ڈھانچہ
- ایک اور
- ایپلی کیشنز
- AS
- At
- کی توثیق
- آگاہ
- واپس
- BE
- کیا جا رہا ہے
- بٹ
- بگ کی اطلاع دیں
- کاروبار
- by
- بائی پاس
- کر سکتے ہیں
- کیٹلوگ
- چیک
- امتزاج
- کمپنیاں
- مواد
- سیاق و سباق
- تخلیق
- اہم
- سائبر سیکیورٹی
- demonstrated,en
- ترقی یافتہ
- دستاویز
- دستاویزی مینجمنٹ
- ایمبیڈڈ
- مصروفیت
- اضافہ
- واقعہ
- دھماکہ
- استحصال کیا۔
- اضافی
- آخر
- فائرنگ
- پہلا
- کے لئے
- حاصل کرنا
- گروپ
- تاہم
- HTTPS
- i
- پر عملدرآمد
- in
- آزاد
- انفراسٹرکچر
- اندرونی
- IT
- میں
- فوٹو
- JSON
- جون
- Jwt
- جانا جاتا ہے
- تازہ ترین
- لائن
- لسٹ
- انتظام
- مارچ
- ماسٹڈون
- مائیکروسافٹ
- دس لاکھ
- ماہانہ
- نئی
- نیسٹ
- نہیں
- of
- on
- ایک
- تنظیمیں
- باہر
- پیچ
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پی او سی
- مقبول
- پوسٹ
- استحقاق
- عمل
- عمل
- فراہم
- Pwn2Own
- ransomware کے
- حال ہی میں
- ضرورت
- محقق
- وسائل
- s
- پیمانے
- دوسری
- سیکورٹی
- ستمبر
- سرور
- سرورز
- سیکنڈ اور
- ابھی تک
- ذخیرہ
- کامیاب
- کے نظام
- سے
- کہ
- ۔
- اس
- کرنے کے لئے
- ٹوکن
- ٹوکن
- استعمال کیا جاتا ہے
- رکن کا
- کا استعمال کرتے ہوئے
- کی افادیت
- کی طرف سے
- نقصان دہ
- خطرے کا سامنا
- ویب
- بدھ کے روز
- جس
- ساتھ
- کام کر
- تحریری طور پر
- یو ٹیوب پر
- زیفیرنیٹ