SecBoard
Zurück zur Übersicht

CISA warns admins to patch actively exploited SharePoint flaws

BleepingComputer·
Originalartikel lesen bei BleepingComputer

warnt vor aktiver Ausnutzung von drei Schwachstellen in SharePoint Server-Instanzen. Angreifer nutzen diese, um Internet-exponierte Systeme zu kompromittieren. Administratoren sollten dringend Patches einspielen, um ihre Systeme zu schützen.

Kurzfassung

CISA warnt vor der aktiven Ausnutzung von drei Schwachstellen in lokalen SharePoint Server-Instanzen. Angreifer nutzen diese Schwachstellen, um Internet-exponierte Systeme zu kompromittieren. Administratoren wird dringend empfohlen, Patches einzuspielen, um ihre Systeme zu schützen.

Relevanz für Manager / CISOs
Priorität:Sofort
Betroffene

Organisationen, die lokale SharePoint Server-Instanzen betreiben, insbesondere solche, die über das Internet zugänglich sind.

Warum relevant

Die aktive Ausnutzung bedeutet, dass Angreifer bereits Wege gefunden haben, diese Schwachstellen zu nutzen, was ein hohes und unmittelbares Risiko für kompromittierte Systeme darstellt.

Realistisches Worst Case

Kompromittierung von Internet-exponierten SharePoint Servern, was zu unbefugtem Zugriff auf Daten und Systeme führen kann.

Handlungsempfehlung

Dringendes Einspielen der von CISA empfohlenen Patches für alle betroffenen SharePoint Server-Instanzen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob alle SharePoint Server-Instanzen die neuesten Sicherheitsupdates und Patches installiert haben.
  • Stellen Sie sicher, dass Internet-exponierte SharePoint Server durch zusätzliche Sicherheitsmaßnahmen wie Firewalls und Intrusion Prevention Systeme geschützt sind.
  • Überprüfen Sie die Protokolle Ihrer SharePoint Server auf Anzeichen unbefugter Zugriffe oder ungewöhnlicher Aktivitäten.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1190 Exploit Public-Facing ApplicationHighAngreifer nutzen diese, um Internet-exponierte Systeme zu kompromittieren.
Offene Punkte
  • Die spezifischen CVE-IDs der drei Schwachstellen werden im Artikel nicht genannt.
  • Die genauen Auswirkungen einer Kompromittierung werden nicht detailliert beschrieben.
  • Die Identität der Angreifer oder deren Motivation wird nicht erwähnt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Ja
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Ja

Kundenfragen

  • Haben wir SharePoint extern erreichbar?
  • Können wir Resource Development detektieren?
  • Können wir Collection detektieren?

MITRE ATT&CK Kill Chain (4 Techniken)

Themen
SecurityMicrosoft