【CISA下令】修補Microsoft SharePoint已知漏洞 未更新可遭遠程入侵
美國 CISA 最新將一個有關 CVE-2023-29357 安全漏洞添加到已知漏洞名冊上,要求美國聯邦機構必須在今個月底前進行修補。這項與 Microsoft SharePoint 有關的漏洞原來在去年溫哥華 Pwn2Own 黑客大會上已被發現,而發現的 STAR Labs 研究員更因此獲得 10 萬美元獎金,可見漏洞有一定嚴重性,而且被 CISA 加入漏洞名冊,亦暗示該漏洞已被黑客廣泛利用,IT 管理員不可不防。
黑客大會上僅 30 秒已顯示其嚴重性
在溫哥華 3 月舉辦的 Pwn2Own 2023 大會上,網絡安全機構 STAR Labs 示範了如何利用 Microsoft 的 SharePoint 兩個漏洞,成功入侵用家的帳戶及執行遠程代碼。雖然該場示範只持續了 30 秒,但已清楚顯示其嚴重性。這個示範包含了兩個問題,首先是研究員成功繞過 SharePoint 的身份驗證功能,通過有效的 JSON Web Tokens 來冒充任何 SharePoint 用家,在不用欺騙用家進行任何動作下,取得管理員權限。其次是遙距注入編碼,當取得管理員資格,研究員再結合另一個 SharePoint 漏洞,令他可在對方的 SharePoint 伺服器上執行任意編碼。
基於安全道德問題,當時研究員並未公開整個漏洞詳情,但就指出受影響的包括 SharePoint 2019 (16.0.10396.20000)及以下版本,經 Microsoft 方面驗證後,證實漏洞可行,研究員亦為這項花了一年時間鑽研的漏洞賺得 10 萬美元獎金。Microsoft 隨後很快為漏洞提供安全更新,所以在大約半年後,STAR Labs 研究員便發表了較詳細的分析報告,講述如何利用這個漏洞,很快便吸引到另一個研究人員在翌日發表新的概念驗證(PoC)報告。
加入名冊或證明漏洞已被利用
在 PoC 發布三個多月後,美國 CISA 正式將 CVE-2023-29357 添加到已知漏洞名冊,雖然局方未有解釋添加的原因,但從過去官方的發言可見,當局方發現有證據顯示有漏洞正被黑客廣泛利用,便用主動即時將漏洞添加到名冊上,以提醒聯邦機構及企業必須重視安全問題。特別是美國聯邦機構,根據具約束性的操作規定,當漏洞出現在名冊後,相關部門便必須在 21 日進行修補,而事實上,由於這個漏洞的安全更新已在去年 5 月推出,因此企業亦必須盡快升級,如裝置已缺乏升級支援,便應盡早更換。
