Uma vulnerabilidade crítica no Microsoft SharePoint foi adicionada pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) ao Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) nesta terça-feira, após a confirmação de exploração ativa.
Registrada como CVE-2024-38094 e com uma pontuação CVSS de 7,2, a falha é descrita como uma vulnerabilidade de desserialização que pode resultar em execução remota de código. De acordo com a Microsoft, "um invasor autenticado com permissões de proprietário de site pode explorar a falha para injetar e executar código arbitrário no contexto do SharePoint Server."
As correções para a falha foram disponibilizadas pela Microsoft como parte da Patch Tuesday de julho de 2024. No entanto, o risco permanece alto, uma vez que explorações de prova de conceito (PoC) para essa vulnerabilidade já estão disponíveis publicamente. "O script PoC [...] automatiza a autenticação em um site SharePoint usando NTLM, cria pastas e arquivos específicos e envia uma carga XML maliciosa para acionar a vulnerabilidade na API do cliente do SharePoint", relatou o SOCRadar.
Até o momento, não foram registrados casos de exploração da CVE-2024-38094 em ataques reais. No entanto, devido ao potencial de abuso em larga escala, a CISA determinou que as agências do Poder Executivo Civil Federal (FCEB) apliquem as atualizações mais recentes até 12 de novembro de 2024 para garantir a proteção das redes.
Esse alerta ocorre enquanto o Grupo de Análise de Ameaças (TAG) do Google divulgou uma vulnerabilidade zero-day, agora corrigida, que foi explorada em processadores móveis da Samsung como parte de uma cadeia de ataques para execução de código arbitrário. Identificada como CVE-2024-44068, com pontuação CVSS de 8,1, a falha foi corrigida em 7 de outubro de 2024. A Samsung classificou o problema como um “uso após liberação” no processador móvel, que possibilita aumento de privilégios.
Embora o comunicado da Samsung não mencione exploração ativa, os pesquisadores do Google TAG, Xingyu Jin e Clement Lecigne, informaram que uma exploração zero-day para essa falha foi utilizada como parte de uma cadeia de ataques para escalonamento de privilégios. "O invasor pode executar código arbitrário em um processo de servidor de câmera privilegiado", afirmaram os pesquisadores.
"A exploração também renomeou o próprio processo para
'vendor.samsung.hardware.camera.provider@3.0-service',
provavelmente para dificultar a identificação forense."
Essas divulgações ocorrem em paralelo com uma nova proposta da CISA que introduz diretrizes de segurança para evitar o acesso massivo a dados pessoais sensíveis dos EUA ou dados governamentais por países e indivíduos de interesse. Conforme as diretrizes, espera-se que as organizações corrijam vulnerabilidades exploradas conhecidas em até 14 dias, vulnerabilidades críticas sem exploração em até 15 dias e vulnerabilidades de alta gravidade sem exploração em até 30 dias.
“Para garantir e validar que um sistema protegido impede o acesso de indivíduos não autorizados a dados sensíveis, é necessário manter registros de auditoria detalhados, além de implementar processos organizacionais de controle de acesso e gestão de identidade”, afirmou a agência.
Via - THN
Comentários