Uma falha de alta gravidade que afeta o Microsoft SharePoint foi adicionada ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) na terça-feira, citando evidências de exploração ativa.
A vulnerabilidade, rastreada como CVE-2024-38094 (pontuação CVSS: 7,2), foi descrita como uma vulnerabilidade de desserialização que afeta o SharePoint e pode resultar na execução remota de código.
“Um invasor autenticado com permissões de proprietário do website pode usar a vulnerabilidade para injetar código arbitrário e executar esse código no contexto do SharePoint Server”, disse a Microsoft em um alerta sobre a falha.
Patches para o defeito de segurança foram lançados por Redmond como parte de suas atualizações Patch Tuesday para julho de 2024. O risco de exploração é agravado pelo fato de que explorações de prova de conceito (PoC) para a falha estão disponíveis em domínio público.
“O script PoC (…) automatiza a autenticação para um website de destino do SharePoint usando NTLM, cria uma pasta e arquivo específicos e envia uma carga XML criada para acionar a vulnerabilidade na API do cliente do SharePoint”, disse SOCRadar.
Atualmente não há relatos sobre como o CVE-2024-38094 é explorado em estado selvagem. À luz dos abusos em curso, as agências do Poder Executivo Civil Federal (FCEB) são obrigadas a aplicar as correções mais recentes até 12 de novembro de 2024, para proteger as suas redes.
O desenvolvimento ocorre no momento em que o Menace Evaluation Group (TAG) do Google revela que uma vulnerabilidade de dia zero, agora corrigida, nos processadores móveis da Samsung foi transformada em arma como parte de uma cadeia de exploração para obter execução arbitrária de código.
Atribuído ao identificador CVE CVE-2024-44068 (pontuação CVSS de 8,1), ele foi abordado em 7 de outubro de 2024, com a gigante eletrônica sul-coreana caracterizando-o como um “uso após livre no processador móvel (que) leva à escalada de privilégios.”
Embora o comunicado conciso da Samsung não mencione que ela foi explorada em estado selvagem, os pesquisadores do Google TAG, Xingyu Jin e Clement Lecigne, disseram que uma exploração de dia zero para a deficiência é usada como parte de uma cadeia de escalonamento de privilégios.
“O ator é capaz de executar código arbitrário em um processo de servidor de câmera privilegiado”, disseram os pesquisadores. “A exploração também renomeou o próprio nome do processo para 'vendor.samsung.{hardware}.digicam.supplier@3.0-service', provavelmente para fins anti-forenses.”
As divulgações também seguem uma nova proposta da CISA que apresenta uma série de requisitos de segurança, a fim de impedir o acesso em massa a dados pessoais sensíveis dos EUA ou a dados relacionados com o governo por parte de países preocupantes e pessoas abrangidas.
De acordo com os requisitos, espera-se que as organizações corrijam vulnerabilidades exploradas conhecidas no prazo de 14 dias corridos, vulnerabilidades críticas sem exploração no prazo de 15 dias corridos e vulnerabilidades de alta gravidade sem explorações no prazo de 30 dias corridos.
“Para garantir e validar que um sistema coberto nega às pessoas cobertas o acesso aos dados cobertos, é necessário manter registos de auditoria de tais acessos, bem como processos organizacionais para utilizar esses registos”, disse a agência.
“Da mesma forma, é necessário que uma organização desenvolva processos e sistemas de gestão de identidade para estabelecer uma compreensão de quais pessoas podem ter acesso a diferentes conjuntos de dados”.