SharePoint Serverにリモートコード実行を可能にする2つの脆弱性 PoCも公開済み:セキュリティニュースアラート
サイバーセキュリティの研究者がSharePoint Serverに存在する重大な脆弱性を2つ組み合わせて認証前リモートコード実行の可能性を示す概念実証を公開した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
サイバーセキュリティの研究者が「Microsoft SharePoint Server」(以下、SharePoint Server)に存在する特権昇格の脆弱(ぜいじゃく)性およびリモートコード実行の脆弱性を利用して認証前リモートコード実行(RCE)を可能にする概念実証(PoC)を公開した。
サイバー攻撃者が悪用する可能性があることから、該当製品を使用している場合は迅速にアップデートを講じることが望まれる。
SharePoint Serverに見つかった2つの脆弱性を解説
PoCで利用されている脆弱性は以下の通りだ。
- CVE-2023-24955: CVSSv3スコア7.2。深刻度は「重要」(High)。SharePoint ServerにおけるRCEの脆弱性
- CVE-2023-29357: CVSSv3スコア9.8。深刻度は「緊急」(Critical)。SharePoint Serverにおける特権昇格の脆弱性
この2つの脆弱性を組み合わせることで認証前にRCEを実行できることを研究者のNguyen Tien Giang(Jang)氏が発見し2023年9月25日(現地時間)に詳細な情報を公開した。今回のPoCは詳細情報をさらに補完するもので、実際にソースコードでどのように悪用されるかが示されている。
セキュリティ研究者はMicrosoftへの報告やアップデートの提供など、十分な時間が経過した後で情報を公開している。公開されたPoCによると、最新のMicrosoft SharePoint Serverではこのサイバー攻撃は実現できないとされている。
ただし、サイバー攻撃者は公開されるPoCをベースに変更を加え、新たなサイバー攻撃のツールとして悪用することがあり、全くリスクがなくなったわけではない。Microsoft SharePoint Serverを使用している場合は常に最新のバージョンにアップデートすることが求められる。
関連記事
徳丸 浩氏が“独断と偏見”で選ぶ 2023年気になった事件と2024年脅威予測
2023年は多くのサイバー攻撃が発生したが、この中で徳丸 浩氏が注目したものは何だったのだろうか。2023年のセキュリティトレンドを振り返りつつ、2024年の脅威予測をお伝えしよう。
神戸大 森井教授が提言する、セキュリティ予算0円の企業でも「できること」
ランサムウェア攻撃が激化する中、セキュリティに回す予算やリソースがないと嘆く中堅・中小企業は多く存在する。そういった企業に向けて神戸大学大学院教授の森井昌克氏が“できること”を伝えた。
フィッシングにまみれてしまった「メール」の今後を考える
フィッシングが激化する昨今、「Gmail」などのメールサービスにおいて電子メール送信者の要件が変更になります。これを踏まえてサービス事業者はどのような対策を講じればいいのでしょうか。
ファイル転送サービスはなぜサイバー攻撃の標的になるのか?
2023年には、ファイル転送サービスに起因する、何千もの企業およびその顧客に混乱をもたらしたサプライチェーン攻撃が3件も発生した。これらのツールはなぜ狙われるのだろうか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。