Uma falha de alta severidade que afeta o Microsoft SharePoint foi adicionada ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) pela Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) na terça-feira, citando evidências de exploração ativa.
A vulnerabilidade, rastreada como
CVE-2024-38094
(pontuação CVSS: 7.2), foi descrita como uma vulnerabilidade de deserialização que impacta o SharePoint e pode resultar na execução remota de código.
"Um invasor autenticado com permissões de Proprietário do Site pode usar a vulnerabilidade para injetar código arbitrário e executar esse código no contexto do servidor SharePoint," disse a Microsoft em um alerta sobre a falha.
Patches para o defeito de segurança foram lançados pela Redmond como parte de suas atualizações do Patch Tuesday para julho de 2024.
O risco de exploração é ampliado pelo fato de que exploits de prova de conceito (PoC) para a falha estão disponíveis no domínio público.
"O script PoC [...] automatiza autenticação em um site SharePoint alvo usando NTLM, cria uma pasta e arquivo específicos, e envia um payload XML criado para acionar a vulnerabilidade na API do cliente SharePoint," disse a SOCRadar.
Atualmente, não há relatos sobre como o
CVE-2024-38094
está sendo explorado em ataques reais.
Em vista do abuso na vida real, as agências do Ramo Executivo Civil Federal (FCEB) são obrigadas a aplicar as últimas correções até 12 de novembro de 2024, para proteger suas redes.
O desenvolvimento ocorre enquanto o Grupo de Análise de Ameaças (TAG) do Google revelou que uma vulnerabilidade zero-day já corrigida nos processadores móveis da Samsung tem sido armada como parte de uma cadeia de exploits para alcançar a execução de código arbitrário.
Atribuído ao identificador CVE
CVE-2024-44068
(pontuação CVSS de 8.1), ele foi endereçado em 7 de outubro de 2024, com o gigante eletrônico sul-coreano caracterizando-o como um "use-after-free no processador móvel [que] leva a escalada de privilégios." Enquanto o breve aviso da Samsung não menciona que ele tenha sido explorado na vida real, os pesquisadores do Google TAG, Xingyu Jin e Clement Lecigne, disseram que um exploit zero-day para a falha é usado como parte de uma cadeia de escalada de privilégios.
"O ator é capaz de executar código arbitrário em um processo cameraserver privilegiado," disseram os pesquisadores.
"O exploit também renomeou o nome do processo para '[email protected],' provavelmente para fins anti-forenses."
As divulgações também seguem uma nova proposta da CISA que apresenta uma série de requisitos de segurança para impedir o acesso em massa a dados pessoais sensíveis dos EUA ou dados relacionados ao governo por países de preocupação e pessoas cobertas.
Em linha com os requisitos, espera-se que as organizações remediem vulnerabilidades exploradas conhecidas dentro de 14 dias corridos, vulnerabilidades críticas sem exploração dentro de 15 dias corridos, e vulnerabilidades de alta severidade sem exploração dentro de 30 dias corridos.
"Para garantir e validar que um sistema coberto nega a pessoas cobertas acesso a dados cobertos, é necessário manter registros de auditoria desses acessos, bem como processos organizacionais para utilizar esses registros," disse a agência.
Da mesma forma, é necessário que uma organização desenvolva processos e sistemas de gerenciamento de identidade para estabelecer um entendimento de quais pessoas podem ter acesso a diferentes conjuntos de dados.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...