Sharepoint-Sicherheitslücken: CISA warnt vor Angriffen in freier Wildbahn

Die US-Cybersicherheitsbehörde CISA warnt vor Angriffen in freier Wildbahn auf Sicherheitslücken in Microsofts Sharepoint-Server. Aktualisierungen zum Abdichten der Lecks gibt es bereits seit Mai und Juni vergangenen Jahres, dennoch sind die Angreifer offenbar erfolgreich.

Der Known Exploited Vulnerabilities-Katalog der CISA (KEV) hat vergangene Woche einen Eintrag zu einer Codeschmuggel-Lücke erhalten. Microsoft beschreibt die Schwachstelle so, dass Angreifer, die als Site-Besitzer angemeldet sind, beliebigen Code aus der Ferne ausführen können (CVE-2023-24955, CVSS 7.2, Risiko "hoch"). Brisant wird diese Schwachstelle in Kombination mit einer Sicherheitslücke in Sharepoint, die bösartigen Akteuren die Ausweitung ihrer Rechte erlaubt (CVE-2023-29357, CVSS 9.8, kritisch).

Sharepoint durch Schwachstellenkombination angegriffen

Die zweite Sicherheitslücke ist ebenfalls im KEV-Katalog der CISA eingezogen, im Januar dieses Jahres. Die Kombination hatte der IT-Forscher Nguyễn Tiến Giang im Rahmen der Pwn-2-Own-Konferenz 2023 in Vancouver ausgenutzt, um in Sharepoint-Server einzubrechen. Ein Blog-Beitrag beleuchtet den Angriff detaillierter. Seit Dezember vergangenen Jahres ist zudem ein Proof-of-Concept-Exploit verfügbar.

Schon im Mai 2023, als Microsoft CVE-2023-24955 am Patchday korrigiert hat, stuften die Entwickler die Ausnutzung der Lücke als wahrscheinlich ein. Den Schweregrad stuften sie daher abweichend vom CVSS-Wert bereits als kritisch ein.

Da die CISA jetzt Angriffe auf die Sicherheitslücke beobachtet hat – genauere Informationen oder Belege liefert die US-Behörde bei solchen Missbrauchsmeldungen nicht mit –, haben es offenbar noch zahlreiche IT-Verantwortliche versäumt, die bereitstehenden Aktualisierungen herunterzuladen und anzuwenden. Das sollten sie jetzt unbedingt nachholen.

(dmk)