4月16-17日,主題為“挑戰(zhàn)與變革”的第九屆全國網(wǎng)絡與信息安全防護峰會(XDef)在湖北武漢隆重舉行,深信服藍軍首席架構(gòu)師彭峙釀出席峰會并發(fā)表了主題為《針對Microsoft SharePoint的安全研究》的演講。
圖片:第九屆全國網(wǎng)絡與信息安全防護峰會現(xiàn)場
全國網(wǎng)絡與信息安全防護峰會以“對話、交流、合作”為宗旨,以“前沿、實用、人才”為特色,旨在匯聚政、產(chǎn)、學、研、用等各方專家,充分利用參會嘉賓所處行業(yè)合作需求的多元化特點,來促進多方安全力量的有效對話與深入交流,以實質(zhì)性推動合作。本屆峰會由國家計算機網(wǎng)絡應急技術(shù)處理協(xié)調(diào)中心(CNCNERT/CC)、教育部高等學校網(wǎng)絡空間安全專業(yè)教學指導委員會指導,空天信息安全與可信計算教育部重點實驗室(武漢大學)主辦。
新冠疫情席卷全球,許多政企和組織被迫改變其業(yè)務模式的運作方式,開始進行遠程辦公,他們迫切需要一個管理系統(tǒng)來管理和共享工作內(nèi)容。Microsoft SharePoint是目前被廣泛使用的內(nèi)容管理系統(tǒng)(CMS)之一,由于其承載了大量企業(yè)內(nèi)部信息,也易于成為惡意黑客的攻擊對象。迄今,深信服通過安全研究,已協(xié)助微軟修復了數(shù)十個SharePoint中存在的安全漏洞,其中包含多個可以直接接管SharePoint服務器權(quán)限的高危安全漏洞。在本次峰會中,彭峙釀從Microsoft SharePoint體系結(jié)構(gòu)、攻擊面和緩解措施,以及緩解措施的繞過等層面,介紹了深信服對Microsoft SharePoint多個最新高危RCE漏洞的研究成果(微軟已修復)。
圖片:深信服藍軍首席架構(gòu)師彭峙釀
彭峙釀談到,不安全的控件問題、服務端請求偽造(SSRF)、不安全的反序列化、XML解析漏洞、服務端文件包含(SSI)、賬戶接管等,均是Microsoft SharePoint中可能會被惡意黑客利用的攻擊面,一旦這些漏洞被惡意黑客利用,政企和組織將面臨巨大的損失。比如,攻擊者可以借助SPSqlDataSource 任意文件讀漏洞(CVE-2020-17120)或CSOM GetPlugin XXE 漏洞 (CVE-2021-24072),泄露Microsoft SharePoint服務器任意文件內(nèi)容,并進一步實現(xiàn)服務器遠程代碼執(zhí)行,接管Microsoft SharePoint服務器。再如Microsoft SharePoint中存在的服務端文件包含漏洞(CVE-2020-16952),攻擊者利用該漏洞也可以完全接管Microsoft SharePoint服務器。當服務器被攻擊者接管,其上存儲的所有敏感信息和文件都會暴露在攻擊者面前,甚至可能成為攻擊者接管整個內(nèi)網(wǎng)的關鍵一環(huán)。
網(wǎng)絡安全的本質(zhì)在于持續(xù)的攻防對抗與博弈,要了解對手的能力、特點和動機,還要像對手那樣思考,才能搶先一步。深信服也將持續(xù)深耕攻防領域的技術(shù)研究,助力網(wǎng)絡強國建設,堅決捍衛(wèi)網(wǎng)絡安全防線。
