L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté une faille de sécurité affectant le serveur Microsoft Sharepoint à son catalogue de vulnérabilités exploitées connues ( KEV ) sur la base de preuves d’exploitation active dans la nature.

La vulnérabilité, identifiée comme CVE-2023-24955 (score CVSS : 7,2), est une faille critique d’exécution de code à distance qui permet à un attaquant authentifié disposant des privilèges de propriétaire de site d’exécuter du code arbitraire.

“Dans une attaque basée sur le réseau, un attaquant authentifié en tant que propriétaire du site pourrait exécuter du code à distance sur le serveur SharePoint”, a déclaré Microsoft dans un avis. La faille a été corrigée par Microsoft dans le cadre de ses mises à jour du Patch Tuesday de mai 2023.

Ce développement intervient plus de deux mois après que CISA a ajouté CVE-2023-29357, une faille d’élévation de privilèges dans SharePoint Server, à son catalogue KEV.

Il convient de souligner qu’une chaîne d’exploitation combinant CVE-2023-29357 et CVE-2023-24955 a été démontrée par StarLabs SG lors du concours de piratage Pwn2Own de Vancouver l’année dernière, ce qui a valu aux chercheurs un prix de 100 000 $.

Cela dit, il n’existe actuellement aucune information sur les attaques militarisant ces deux vulnérabilités et sur les acteurs menaçants qui pourraient les exploiter.

Microsoft avait précédemment déclaré à The Hacker News que “les clients qui ont activé les mises à jour automatiques et activé l’option “Recevoir les mises à jour pour d’autres produits Microsoft” dans leurs paramètres Windows Update sont déjà protégés”.

Les agences du pouvoir exécutif civil fédéral (FCEB) sont tenues d’appliquer les correctifs d’ici le 16 avril 2024 pour sécuriser leurs réseaux contre les menaces actives.