美国网络安全和基础设施安全局 (CISA) 于 2025 年 2 月 25 日发布了紧急公告,确认威胁行为者正在积极利用 Microsoft 合作伙伴中心平台中的严重权限提升漏洞 (CVE-2024-49035)。
在有证据表明存在内部滥用行为后,该不当访问控制漏洞允许未经身份验证的攻击者获得提升的网络权限,该漏洞已被添加到 CISA 的已知利用漏洞 (KEV) 目录中。
Microsoft 最初于 2024 年 11 月披露了该漏洞,并将其 CVSS 评分为 8.7。然而,国家漏洞数据库后来将其评为 9.8 分(满分 10 分),因为它的攻击复杂性较低,对机密性和完整性的影响很大。
漏洞详情及利用
CVE-2024-49035 源于 Microsoft 合作伙伴中心门户 (partner.microsoft.com) 中的权限管理不当,该门户是管理云服务、许可证和客户帐户的中心。
攻击者可以在未经身份验证的情况下利用该漏洞来提升权限,从而可能访问敏感数据、部署恶意负载或跨网络横向移动。
虽然 Microsoft 尚未披露有关持续攻击的细节,但 CISA 强调了其严重性,并指出此类漏洞是网络犯罪分子的“频繁攻击媒介”。安全研究人员 Gautam Peri、Apoorv Wadhwa 和一位匿名贡献者发现了该漏洞,尽管他们的发现最初并未触发公开的漏洞利用报告。
Microsoft 已自动向支持合作伙伴中心的 Power Apps 在线服务推出补丁,向用户保证无需手动干预。
然而,CISA 要求联邦文职行政部门机构在 2025 年 3 月 18 日之前应用更新,并敦促私营部门组织效仿。
建议的措施包括实施网络分段、审核访问控制以及采用零信任原则来限制横向移动。
CVE-2024-49035 的利用凸显了广泛使用的企业平台中的持续风险。与同时添加到 KEV 目录中的 Zimbra XSS 漏洞 (CVE-2023-34192) 不同,此 Microsoft 漏洞会影响中央合作伙伴生态系统,放大潜在的供应链泄露。
它与 Microsoft Power Apps 的关联引发了人们对共享基础设施风险的担忧,尽管该公司坚称该问题仅限于在线服务。
建议组织关注 Microsoft 的建议并实施 CISA 针对云服务的约束性作指令 22-01 指南。
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局