CISA: Microsoft SharePoint RCE flaw now actively exploited
CISA warnt vor aktiver Ausnutzung einer kritischen Remote Code Execution (RCE)-Schwachstelle in Microsoft SharePoint. Angreifer nutzen die im Mai gepatchte Lücke nun aktiv aus. Unternehmen sollten umgehend die entsprechenden Sicherheitsupdates installieren, um ihre Systeme zu schützen.
CISA warnt vor der aktiven Ausnutzung einer kritischen Remote Code Execution (RCE)-Schwachstelle in Microsoft SharePoint. Diese Schwachstelle wurde bereits im Mai gepatcht. Unternehmen, die SharePoint nutzen, sind betroffen und müssen umgehend die Sicherheitsupdates installieren.
Organisationen, die Microsoft SharePoint nutzen.
Die aktive Ausnutzung einer RCE-Schwachstelle in Microsoft SharePoint ermöglicht Angreifern die Ausführung von beliebigem Code auf betroffenen Systemen. Dies kann zu einer vollständigen Kompromittierung der SharePoint-Umgebung führen.
Angreifer könnten die Kontrolle über SharePoint-Server übernehmen, Daten exfiltrieren, manipulieren oder weitere Malware im Netzwerk verbreiten.
Umgehende Installation der im Mai veröffentlichten Sicherheitsupdates für Microsoft SharePoint.
- ▸Überprüfen Sie, ob alle Microsoft SharePoint-Instanzen die Sicherheitsupdates vom Mai installiert haben.
- ▸Überwachen Sie SharePoint-Server auf ungewöhnliche Aktivitäten oder Prozesse, die auf eine Kompromittierung hindeuten könnten.
- ▸Stellen Sie sicher, dass ein aktuelles Backup aller SharePoint-Daten vorhanden ist und regelmäßig überprüft wird.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Execution | T1190 Exploit Public-Facing Application | High | CISA warnt vor aktiver Ausnutzung einer kritischen Remote Code Execution (RCE)-Schwachstelle in Microsoft SharePoint. |
- Spezifische CVE-ID der Schwachstelle ist nicht im Artikel genannt.
- Details zu den Angreifergruppen oder deren Motivation sind nicht im Artikel genannt.
- Konkrete Indikatoren für Kompromittierung (IOCs) sind nicht im Artikel genannt.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Ja
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Ja
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Ja
Kundenfragen
- Haben wir SharePoint extern erreichbar?
- Können wir Collection detektieren?