SecBoard
Zurück zur Übersicht

CISA Urges SharePoint Hardening After New Exploitations

CISA Current Activity·
Originalartikel lesen bei CISA Current Activity

warnt vor aktiver Ausnutzung von Schwachstellen in On-Premises SharePoint Servern (Subscription Edition, 2019, 2016), die Cyberkriminellen unbefugten Zugriff und ermöglichen. Organisationen sollten umgehend die neuesten Microsoft-Patches installieren, die AMSI-Integration aktivieren und ihre Server auf Anzeichen von Kompromittierung überwachen. Zusätzlich wird empfohlen, die IIS-Maschinenschlüssel zu rotieren und die Serverhärtung zu verbessern, um weitere Angriffe zu verhindern.

Kurzfassung

CISA warnt vor aktiver Ausnutzung von Schwachstellen in On-Premises SharePoint Servern (Subscription Edition, 2019, 2016). Cyberkriminelle nutzen diese, um unbefugten Zugriff und Remote Code Execution zu erlangen. Organisationen müssen umgehend Patches installieren und ihre Server härten, um Kompromittierungen zu verhindern.

Relevanz für Manager / CISOs
Priorität:Sofort
Betroffene

Organisationen, die On-Premises SharePoint Server (Subscription Edition, 2019, 2016) betreiben.

Warum relevant

Die aktive Ausnutzung ermöglicht Angreifern unbefugten Zugriff und Remote Code Execution auf kritische Unternehmensdaten und -systeme, was zu erheblichen Betriebsunterbrechungen und Datenlecks führen kann.

Realistisches Worst Case

Angreifer erlangen vollständige Kontrolle über den SharePoint-Server, können sensible Daten exfiltrieren, weitere Systeme im Netzwerk kompromittieren und Malware bereitstellen, was zu einem weitreichenden Sicherheitsvorfall führt.

Handlungsempfehlung

Sofortiges Patchen aller betroffenen SharePoint Server, Aktivierung der AMSI-Integration, Rotation der IIS-Maschinenschlüssel und Implementierung verbesserter Serverhärtungsmaßnahmen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob alle On-Premises SharePoint Server (Subscription Edition, 2019, 2016) die neuesten Microsoft-Sicherheitspatches installiert haben.
  • Verifizieren Sie, dass die AMSI-Integration (Antimalware Scan Interface) für SharePoint Server aktiviert und korrekt konfiguriert ist.
  • Überprüfen Sie die Server-Logs und Netzwerkverkehr auf Anzeichen von unbefugtem Zugriff, Remote Code Execution oder ungewöhnlicher Aktivität auf SharePoint-Servern.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1190 Exploit Public-Facing ApplicationHighCISA warnt vor aktiver Ausnutzung von Schwachstellen in On-Premises SharePoint Servern
ExecutionT1210 Exploitation for Client ExecutionHighdie Cyberkriminellen unbefugten Zugriff und Remote Code Execution ermöglichen.
Offene Punkte
  • Spezifische CVE-Nummern der ausgenutzten Schwachstellen sind nicht im Artikel genannt.
  • Details zu den eingesetzten Malware-Typen sind nicht im Artikel genannt.
  • Die Identität der Bedrohungsakteure ist nicht im Artikel genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Ja
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Ja

Kundenfragen

  • Haben wir SharePoint extern erreichbar?
  • Haben wir Active Directory / Entra extern erreichbar?
  • Können wir Resource Development detektieren?
  • Können wir Collection detektieren?

MITRE ATT&CK Kill Chain (7 Techniken)