Kihasznált Microsoft SharePoint sérülékenységek

Editors' Pick

A CISA rendkívüli figyelmeztetést adott ki, miután több, on-premises Microsoft SharePoint Servert érintő sérülékenységet – CVE-2026-49704CVE-2026-49706CVE-2026-53771 – aktívan kihasználják támadásokban. A hatóság hangsúlyozza, hogy a biztonsági frissítések telepítése önmagában nem elegendő, mert a korábban kompromittált szervereken a támadók hátsó kapukat, webshellt vagy ellopott ASP.NET Machine Key-eket hagyhattak hátra, amelyekkel a javítás után is fenntarthatják hozzáférésüket. Emiatt minden internet felől elérhető SharePoint-kiszolgálót potenciálisan kompromittáltnak kell tekinteni, amíg részletes incidensvizsgálat nem igazolja az ellenkezőjét.

A CISA ezért a frissítések telepítése mellett a SharePoint IIS naplóinak és ULS logjainak átvizsgálását, az ASP.NET Machine Key-ek cseréjét, az IIS Worker Process identitásához kapcsolódó hitelesítő adatok rotációját, a webshell-ek és ismeretlen fájlok keresését, valamint a Microsoft Defender for Endpoint és a Microsoft által kiadott IOC-k alkalmazását javasolja. Szükség esetén a szervereket újra kell építeni ismert, tiszta állapotból. A figyelmeztetés jól mutatja, hogy az internet felől elérhető SharePoint-rendszerek továbbra is kiemelt célpontjai az állami és kiberbűnözői szereplőknek, ezért a szervezeteknek a javításokat teljes incidenskezelési folyamattal kell kiegészíteniük, nem elegendő kizárólag a sérülékenységek befoltozása.

FORRÁS