La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el martes una falla de alta gravedad que afecta a Microsoft SharePoint al catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad, rastreada como CVE-2024-38094 (puntuación CVSS: 7,2), se ha descrito como una vulnerabilidad de deserialización que afecta a SharePoint y podría provocar la ejecución remota de código.
“Un atacante autenticado con permisos de propietario del sitio puede utilizar la vulnerabilidad para inyectar código arbitrario y ejecutar este código en el contexto de SharePoint Server”, dijo Microsoft en una alerta sobre la falla.
Redmond lanzó parches para el defecto de seguridad como parte de sus actualizaciones del martes de parches para julio de 2024. El riesgo de explotación se ve agravado por el hecho de que los exploits de prueba de concepto (PoC) para el defecto están disponibles en el dominio público.
“El script PoC (…) automatiza la autenticación en un sitio de SharePoint objetivo utilizando NTLM, crea una carpeta y un archivo específicos y envía una carga útil XML diseñada para activar la vulnerabilidad en la API del cliente de SharePoint”, dijo SOCRadar.
Actualmente no hay informes sobre cómo se explota CVE-2024-38094 en la naturaleza. A la luz de los abusos en la naturaleza, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las últimas correcciones antes del 12 de noviembre de 2024 para proteger sus redes.
El desarrollo se produce cuando el Grupo de Análisis de Amenazas (TAG) de Google reveló que una vulnerabilidad de día cero ahora parcheada en los procesadores móviles de Samsung ha sido utilizada como arma como parte de una cadena de exploits para lograr la ejecución de código arbitrario.
Asignado el identificador CVE CVE-2024-44068 (puntuación CVSS de 8,1), se abordó a partir del 7 de octubre de 2024, y el gigante de la electrónica de Corea del Sur lo caracterizó como un “uso después de la liberación en el procesador móvil (que) conduce a una escalada de privilegios”.
Si bien el conciso aviso de Samsung no menciona que haya sido explotado en la naturaleza, los investigadores de Google TAG, Xingyu Jin y Clement Lecigne, dijeron que se utiliza un exploit de día cero para la deficiencia como parte de una cadena de escalada de privilegios.
“El actor puede ejecutar código arbitrario en un proceso de servidor de cámara privilegiado”, dijeron los investigadores. “El exploit también cambió el nombre del proceso a ‘vendor.samsung.hardware.camera.provider@3.0-service’, probablemente con fines antiforenses”.
Las divulgaciones también siguen a una nueva propuesta de CISA que establece una serie de requisitos de seguridad para evitar el acceso masivo a datos personales confidenciales de EE. UU. o datos relacionados con el gobierno por parte de países de interés y personas cubiertas.
De acuerdo con los requisitos, se espera que las organizaciones remedien las vulnerabilidades explotadas conocidas en un plazo de 14 días calendario, las vulnerabilidades críticas sin explotación en un plazo de 15 días calendario y las vulnerabilidades de alta gravedad sin vulnerabilidades en un plazo de 30 días calendario.
“Para garantizar y validar que un sistema cubierto niegue a las personas cubiertas el acceso a los datos cubiertos, es necesario mantener registros de auditoría de dichos accesos, así como procesos organizacionales para utilizar esos registros”, dijo la agencia.
“Del mismo modo, es necesario que una organización desarrolle procesos y sistemas de gestión de identidad para establecer una comprensión de qué personas pueden tener acceso a diferentes conjuntos de datos”.
