Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwt voor actieve aanvallen op Microsoft SharePoint-servers. Aanvallers maken misbruik van meerdere kwetsbaarheden in on-premises SharePoint-versies, waardoor zij onder meer code kunnen uitvoeren, vertrouwelijke gegevens kunnen stelen en langdurige toegang tot servers kunnen behouden.
De kwetsbaarheden, waaronder CVE-2026-32201, CVE-2026-45659 en CVE-2026-56164, werden door Microsoft in april, mei en recentelijk gepatcht. Daarnaast bracht Microsoft updates uit voor twee kritieke lekken (CVE-2026-55040 en CVE-2026-58644) die remote code execution mogelijk maken. Hoewel er nog geen meldingen zijn van misbruik van deze laatste twee, verwacht Microsoft dat dit op korte termijn zal gebeuren.
CISA dringt er bij organisaties op aan om de beschikbare updates zo snel mogelijk te installeren en aanvullende beveiligingsmaatregelen te treffen. Dit omvat het blokkeren van externe toegang tot SharePoint Central Administration, het voorkomen dat SharePoint-servers direct vanaf internet bereikbaar zijn tenzij strikt noodzakelijk, het plaatsen van servers achter een Layer 7 reverse proxy en het inrichten van logging om misbruik te detecteren en monitoren. Tevens moet voor elke SharePoint-applicatie de Antimalware Scan Interface (AMSI) integratie geactiveerd zijn.
Reacties
Geef een reactie
Vereiste velden zijn gemarkeerd met *