SecBoard
Zurück zur Übersicht

CISA: Microsoft SharePoint RCE flaw now actively exploited

BleepingComputer·
Originalartikel lesen bei BleepingComputer

CISA warnt vor aktiver Ausnutzung einer kritischen Remote Code Execution (RCE)-Schwachstelle in Microsoft SharePoint. Angreifer nutzen die im Mai gepatchte Lücke nun aktiv aus. Unternehmen sollten umgehend die entsprechenden Sicherheitsupdates installieren, um ihre Systeme zu schützen.

Kurzfassung

CISA warnt vor der aktiven Ausnutzung einer kritischen Remote Code Execution (RCE)-Schwachstelle in Microsoft SharePoint. Diese Schwachstelle wurde bereits im Mai gepatcht. Unternehmen, die SharePoint nutzen, sind betroffen und müssen umgehend die Sicherheitsupdates installieren.

Relevanz für Manager / CISOs
Priorität:Sofort
Betroffene

Organisationen, die Microsoft SharePoint nutzen.

Warum relevant

Die aktive Ausnutzung einer RCE-Schwachstelle in Microsoft SharePoint ermöglicht Angreifern die Ausführung von beliebigem Code auf betroffenen Systemen. Dies kann zu einer vollständigen Kompromittierung der SharePoint-Umgebung führen.

Realistisches Worst Case

Angreifer könnten die Kontrolle über SharePoint-Server übernehmen, Daten exfiltrieren, manipulieren oder weitere Malware im Netzwerk verbreiten.

Handlungsempfehlung

Umgehende Installation der im Mai veröffentlichten Sicherheitsupdates für Microsoft SharePoint.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob alle Microsoft SharePoint-Instanzen die Sicherheitsupdates vom Mai installiert haben.
  • Überwachen Sie SharePoint-Server auf ungewöhnliche Aktivitäten oder Prozesse, die auf eine Kompromittierung hindeuten könnten.
  • Stellen Sie sicher, dass ein aktuelles Backup aller SharePoint-Daten vorhanden ist und regelmäßig überprüft wird.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
ExecutionT1190 Exploit Public-Facing ApplicationHighCISA warnt vor aktiver Ausnutzung einer kritischen Remote Code Execution (RCE)-Schwachstelle in Microsoft SharePoint.
Offene Punkte
  • Spezifische CVE-ID der Schwachstelle ist nicht im Artikel genannt.
  • Details zu den Angreifergruppen oder deren Motivation sind nicht im Artikel genannt.
  • Konkrete Indikatoren für Kompromittierung (IOCs) sind nicht im Artikel genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Ja
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Ja

Kundenfragen

  • Haben wir SharePoint extern erreichbar?
  • Können wir Collection detektieren?

MITRE ATT&CK Kill Chain (1 Techniken)

Themen
SecurityMicrosoft