Microsoft SharePoint Server严重缺陷(CVE-2023-24955)已被积极利用！CISA敦促在4月16日之前发布补丁。了解为什么修补至关重要以及如何保护服务器。

网络安全和基础设施安全局(CISA)敦促所有美国联邦民事机构在2024年4月16日之前修补Microsoft SharePoint Server 中的一个严重漏洞（编号为CVE-2023-24955）。

在确认CVE-2023-24955在野外被积极利用后，CISA已将CVE-2023-24955添加到其已知被利用的漏洞(KEV)目录中。

仅供参考，CISA的KEV目录是为美国联邦民事行政部门(FCEB)机构设计的，但也可供所有组织（包括私人组织）使用，以增强其漏洞管理工作。

CVE-2023-24955（CVSS评分7.2）是一个代码注入漏洞，允许在易受攻击的Microsoft SharePoint服务器上远程执行代码(RCE)。具有站点所有者权限的经过身份验证的攻击者可以在SharePoint服务器上远程执行任意代码。这意味着攻击者可能完全控制受影响的系统、窃取数据或在网络内发起进一步的攻击。Microsoft在2023年5月的补丁星期二更新中已经解决了这个严重缺陷。

CISA要求立即提供补丁，这反映出如果不解决该漏洞，可能会造成广泛的损害。CISA警告称，两个Microsoft SharePoint代码注入漏洞CVE-2023-24955和CVE-2023-29357（SharePoint Server中的权限升级缺陷）正被恶意网络攻击者利用，给联邦企业带来重大风险。值得注意的是，CVE-2023-29357于2024年1月被添加到CISA的KEV列表中。

STAR Labs的安全研究员Nguyễn Tiến Giang(Janggggg)于2023年3月在Pwn2Own温哥华利用CVE-2023-24955和CVE-2023-29357在运行SharePoint 2019的修补设备上实现预身份验证RCE，获得100000美元的奖励。Giang于2023年12月发布了技术分析和PoC漏洞，而2023年9月，CVE-2023-29357的独立PoC漏洞在GitHub上发布。

Microsoft于2023年5月和6月发布了补丁来解决这两个问题。然而，包括美国联邦机构在内的一些组织似乎尚未应用该补丁。

此事件强调了及时修补关键漏洞的重要性以及此类漏洞对政府机构的潜在影响。

建议Microsoft SharePoint Server用户，特别是处于高风险环境（例如政府机构）的用户立即修补其系统，启用双因素身份验证，并保持软件更新，以最大限度地降低类似攻击的风险。

Synopsys 软件完整性小组的网络安全专家Ray Kelly强调定期修补和更新软件的重要性，特别是对于处理敏感数据的私有和面向公众的服务器。

“此CISA公告强调了定期修补和更新软件的重要性，特别是对于处理敏感数据的私人和面向公众的服务器。这些连锁漏洞非常严重，因为它们允许攻击者绕过身份验证并在易受攻击的服务器上远程执行代码。”雷解释道。

“但是，需要指出的是，自去年夏天以来，针对这些漏洞的安全补丁就已推出。CISA现在警告我们有关主动利用的事实表明，许多组织未能及时应用必要的安全更新。恶意行为者总是会寻找容易的目标，而未打补丁的服务器总是会为他们提供便利，”他补充道。