'Ernstig lek in Microsoft SharePoint Server actief uitgebuit'
Kwaadwillenden maken actief misbruik van een kritieke kwetsbaarheid in Microsoft SharePoint Server (CVE-2023-24955). Voor het lek is een patch beschikbaar, maar niet alleen SharePoint-servers zijn daadwerkelijk gepatcht.
Hiervoor waarschuwt het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). Het lek is al in maart 2023 ontdekt als onderdeel van de Pwn2Own-hackathon in het Canadese Vancouver. Het gaat om een lek dat het mogelijk maakt willekeurige code op afstand uit te voeren op kwetsbare SharePoint-servers. Kwaadwillenden moeten zich daarbij succesvol op de server authentificeren om de aanval te kunnen uitvoeren.
Microsoft maakte op 9 mei 2023 een patch beschikbaar die de kwetsbaarheid verhelpt. De CISA roept beheerders op deze patch zo snel mogelijk te installeren.