资讯中心

CISA:严重的 SharePoint 漏洞正在被积极利用 媒体

2025-04-08

微软SharePoint服务器严重漏洞告警

关键要点

严重漏洞:CVE202329357是一个具有98的CVSS v3评分的特权提升漏洞。攻击方式:攻击者可以利用伪造的JSON Web Tokens (JWT)获取SharePoint主机的管理员权限。补丁发布:微软在去年6月已对此漏洞进行了修补。CISA加入KEV目录:该漏洞已被CISA列入已知利用漏洞目录KEV Catalog,表示有活跃的利用证据。研究展示:研究人员展示了如何将该漏洞与其他漏洞联动,可能导致远程代码执行RCE。

一个关键的微软SharePoint服务器漏洞目前已被列入美国网络安全和基础设施安全局CISA的已知利用漏洞目录。这个漏洞被追踪为CVE202329357,属于特权提升漏洞,CVSS v3评分为98。该漏洞在去年6月已被微软修补。

CISA:严重的 SharePoint 漏洞正在被积极利用 媒体

该缺陷使得攻击者可以通过伪造的JSON Web令牌JWTs获得SharePoint主机的管理员权限。

小蜜蜂加速器

“一旦攻击者获得了伪造的JWT身份验证令牌,便可以执行网络攻击,绕过身份验证,从而获取经过身份验证的用户的权限,” 微软表示。

“攻击者无需任何权限,用户也不需要执行任何操作。”

尽管CISA将该漏洞加入KEV目录,是基于“活跃利用的证据”,但该机构未详细说明这些证据的具体内容。

Star Labs的研究人员阮进江去年展示并描述了如何将此漏洞与另一项漏洞CVE202324955CVSS 72联动,从而实现RCE。

去年9月,另一位研究人员Valentin Lobstein在GitHub上发布了CVE202329357的概念验证PoC利用代码。

“虽然这个[PoC]脚本专注于特权提升,但有恶意意图的攻击者可能将此漏洞与远程代码执行RCE漏洞CVE202324955结合使用,以破坏目标系统的完整性、可用性和保密性,”Lobstein表示。

“该脚本输出具有提升权限的管理员用户的详细信息,并且可以在单次和批量利用模式下运行。然而,为了保持道德立场,该脚本不包含执行RCE的功能,仅用于教育目的和合法授权的测试。”

安全研究员Kevin Beaumont去年提醒组织修补CVE202329357和CVE202324955,因为勒索软件组织可能利用这些关联利用发起攻击。

在CVE202329357上周被加入KEV目录后,Beaumont在Mastodon上表示:“我了解到一个勒索软件组织终于拥有了这个漏洞的有效利用代码。”

随着此漏洞被加入目录,美国所有联邦政府机构必须在1月31日之前对任何受影响的系统应用补丁。

值得注意的是,CVE202324955尚未被加入KEV目录。