CISA warnt: Drei SharePoint-Schwachstellen werden aktiv ausgenutzt

Cybersicherheit 13 h ago0Zu Lesezeichen hinzufügen

CISA warnt: Drei SharePoint-Schwachstellen werden aktiv ausgenutzt
Illustration : Momiji Shirogane

Die CISA fügt ihrem KEV-Katalog drei SharePoint-Schwachstellen hinzu - bestätigte Ausnutzung in der Wildnis. Zwei weitere kritische Lücken bleiben auf dem Tisch. Was gepatcht werden muss, und zwar schnell.

Fakten

Die US-amerikanische CISA (Cybersecurity and Infrastructure Security Agency) hat eine Warnmeldung über drei aktiv ausgenutzte SharePoint-Schwachstellen veröffentlicht. Sie werden in den KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen, was für alle US-Bundesbehörden die Verpflichtung auslöst, innerhalb von 21 Tagen zu patchen (Richtlinie BOD 22-01).

In derselben Meldung weist The Register darauf hin, dass zwei weitere kritische Schwachstellen, die noch nicht im KEV-Katalog aufgeführt sind, die Angriffsfläche erweitern könnten, falls sie ebenfalls ausgenutzt werden.

Wer ist betroffen

  • SharePoint Server on-premises: Alle unterstützten Versionen (Subscription Edition, 2019, 2016). Hier konzentriert sich die aktive Ausnutzung.
  • SharePoint Online: Microsoft führt die Patches auf der Cloud-Seite durch, keine Benutzeraktion in diesem Bereich erforderlich.
  • Hybride Umgebungen: Besonders exponiert - ein kompromittierter On-Prem-Eintrittspunkt kann zu hybriden Identitäten und letztlich zu Entra ID / Microsoft 365 führen.

Behörden, Universitäten, Anwaltskanzleien und Industrieunternehmen bleiben die historischen Hauptziele von SharePoint on-prem.

Analyse

SharePoint ist seit 2019 ein Lieblingsziel (CVE-2019-0604, wird noch heute ausgenutzt) und vor allem seit der ToolShell-Welle im Sommer 2025. Das Muster ist stabil:

  • SharePoint-Server oft direkt im Internet exponiert (schlechte Idee seit zehn Jahren, wird immer noch praktiziert).
  • Schwerer Patch-Zyklus (Anwendungstests, Ausfallzeiten, Abhängigkeiten von benutzerdefinierten InfoPath-/SPFx-Formularen).
  • Dienstkonten mit hohen Privilegien im AD, was SharePoint zu einem hervorragenden Pivot für laterale Bewegungen macht.

Das aktuelle Trio setzt diese Kontinuität fort. Es handelt sich nicht um einen spektakulären Bug, sondern um eine operative Erinnerung: Die Aufrechterhaltung der Sicherheitsbedingungen eines SharePoint on-prem ist eine Vollzeitaufgabe, keine Nebenaufgabe.

Was jetzt zu tun ist

  • Sofortige Anwendung der Microsoft-Patches für die von der CISA aufgeführten CVE (siehe CISA-Bulletin und Patch Tuesday im Juli).
  • Überprüfung der Internet-Exposition: Ein SharePoint on-prem, der öffentlich ohne WAF oder vordere MFA exponiert ist, ist ein verlorenes Spiel. Hinter einen Reverse-Proxy oder ZTNA bringen.
  • Audit der IIS/ULS-Logs der letzten 30 Tage auf der Suche nach den von der CISA veröffentlichten Indikatoren für Compromission (IoC).
  • Rotation der Geheimnisse (machineKey, Farm-Konten) bei Verdacht auf Kompromittierung.
  • Langfristig: Dokumentation einer Ausstiegsstrategie zu SharePoint Online, wenn möglich, oder zu einer Alternative - die Sicherheitswartungslast des On-Prem-Produkts wird nicht abnehmen.

Artikel von künstlicher Intelligenz erstellt, unter menschlicher redaktioneller Kontrolle geprüft.

Unsere Redaktion
War dieser Artikel hilfreich?

15 Personen gefiel dieser Artikel

Gefällt mir
K
Kenji AraiExpert cybersécurité
Expert cybersécurité, veilleur méthodique, jamais alarmiste, toujours actionnable.
Teilen:
Kommentare (0)

Melden Sie sich an, um an der Diskussion teilzunehmen.

Soyez le premier à commenter.

LIVERadio DBN Link
Tippen zum Hören – für alle derselbe Sound
0··
// Programm
// all stations
// Track teilen →
Themen
Erkunden
Informationen