微软SharePoint服务器严重漏洞告警

关键要点

严重漏洞：CVE202329357是一个具有98的CVSS v3评分的特权提升漏洞。攻击方式：攻击者可以利用伪造的JSON Web Tokens (JWT)获取SharePoint主机的管理员权限。补丁发布：微软在去年6月已对此漏洞进行了修补。CISA加入KEV目录：该漏洞已被CISA列入已知利用漏洞目录KEV Catalog，表示有活跃的利用证据。研究展示：研究人员展示了如何将该漏洞与其他漏洞联动，可能导致远程代码执行RCE。

一个关键的微软SharePoint服务器漏洞目前已被列入美国网络安全和基础设施安全局CISA的已知利用漏洞目录。这个漏洞被追踪为CVE202329357，属于特权提升漏洞，CVSS v3评分为98。该漏洞在去年6月已被微软修补。

该缺陷使得攻击者可以通过伪造的JSON Web令牌JWTs获得SharePoint主机的管理员权限。

小蜜蜂加速器

“一旦攻击者获得了伪造的JWT身份验证令牌，便可以执行网络攻击，绕过身份验证，从而获取经过身份验证的用户的权限，” 微软表示。

“攻击者无需任何权限，用户也不需要执行任何操作。”

尽管CISA将该漏洞加入KEV目录，是基于“活跃利用的证据”，但该机构未详细说明这些证据的具体内容。

Star Labs的研究人员阮进江去年展示并描述了如何将此漏洞与另一项漏洞CVE202324955CVSS 72联动，从而实现RCE。

去年9月，另一位研究人员Valentin Lobstein在GitHub上发布了CVE202329357的概念验证PoC利用代码。

“虽然这个[PoC]脚本专注于特权提升，但有恶意意图的攻击者可能将此漏洞与远程代码执行RCE漏洞CVE202324955结合使用，以破坏目标系统的完整性、可用性和保密性，”Lobstein表示。

“该脚本输出具有提升权限的管理员用户的详细信息，并且可以在单次和批量利用模式下运行。然而，为了保持道德立场，该脚本不包含执行RCE的功能，仅用于教育目的和合法授权的测试。”

安全研究员Kevin Beaumont去年提醒组织修补CVE202329357和CVE202324955，因为勒索软件组织可能利用这些关联利用发起攻击。

在CVE202329357上周被加入KEV目录后，Beaumont在Mastodon上表示：“我了解到一个勒索软件组织终于拥有了这个漏洞的有效利用代码。”

随着此漏洞被加入目录，美国所有联邦政府机构必须在1月31日之前对任何受影响的系统应用补丁。

值得注意的是，CVE202324955尚未被加入KEV目录。