CISA Urges SharePoint Hardening After New Exploitations
CISA warnt vor aktiver Ausnutzung von Schwachstellen in On-Premises SharePoint Servern (Subscription Edition, 2019, 2016), die Cyberkriminellen unbefugten Zugriff und Remote Code Execution ermöglichen. Organisationen sollten umgehend die neuesten Microsoft-Patches installieren, die AMSI-Integration aktivieren und ihre Server auf Anzeichen von Kompromittierung überwachen. Zusätzlich wird empfohlen, die IIS-Maschinenschlüssel zu rotieren und die Serverhärtung zu verbessern, um weitere Angriffe zu verhindern.
CISA warnt vor aktiver Ausnutzung von Schwachstellen in On-Premises SharePoint Servern (Subscription Edition, 2019, 2016). Cyberkriminelle nutzen diese, um unbefugten Zugriff und Remote Code Execution zu erlangen. Organisationen müssen umgehend Patches installieren und ihre Server härten, um Kompromittierungen zu verhindern.
Organisationen, die On-Premises SharePoint Server (Subscription Edition, 2019, 2016) betreiben.
Die aktive Ausnutzung ermöglicht Angreifern unbefugten Zugriff und Remote Code Execution auf kritische Unternehmensdaten und -systeme, was zu erheblichen Betriebsunterbrechungen und Datenlecks führen kann.
Angreifer erlangen vollständige Kontrolle über den SharePoint-Server, können sensible Daten exfiltrieren, weitere Systeme im Netzwerk kompromittieren und Malware bereitstellen, was zu einem weitreichenden Sicherheitsvorfall führt.
Sofortiges Patchen aller betroffenen SharePoint Server, Aktivierung der AMSI-Integration, Rotation der IIS-Maschinenschlüssel und Implementierung verbesserter Serverhärtungsmaßnahmen.
- ▸Überprüfen Sie, ob alle On-Premises SharePoint Server (Subscription Edition, 2019, 2016) die neuesten Microsoft-Sicherheitspatches installiert haben.
- ▸Verifizieren Sie, dass die AMSI-Integration (Antimalware Scan Interface) für SharePoint Server aktiviert und korrekt konfiguriert ist.
- ▸Überprüfen Sie die Server-Logs und Netzwerkverkehr auf Anzeichen von unbefugtem Zugriff, Remote Code Execution oder ungewöhnlicher Aktivität auf SharePoint-Servern.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1190 Exploit Public-Facing Application | High | CISA warnt vor aktiver Ausnutzung von Schwachstellen in On-Premises SharePoint Servern |
| Execution | T1210 Exploitation for Client Execution | High | die Cyberkriminellen unbefugten Zugriff und Remote Code Execution ermöglichen. |
- Spezifische CVE-Nummern der ausgenutzten Schwachstellen sind nicht im Artikel genannt.
- Details zu den eingesetzten Malware-Typen sind nicht im Artikel genannt.
- Die Identität der Bedrohungsakteure ist nicht im Artikel genannt.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Ja
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Ja
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Ja
Kundenfragen
- Haben wir SharePoint extern erreichbar?
- Haben wir Active Directory / Entra extern erreichbar?
- Können wir Resource Development detektieren?
- Können wir Collection detektieren?