Table of Contents
Análise da Vulnerabilidade de Alta Severidade no Microsoft SharePoint
Uma vulnerabilidade de alta severidade que impacta o Microsoft SharePoint foi adicionada ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA). Este registro foi feito na terça-feira, apontando evidências de exploração ativa.
Descrição da Vulnerabilidade
A vulnerabilidade, identificada como CVE-2024-38094 e com uma pontuação CVSS de 7.2, é classificada como uma vulnerabilidade de desserialização que afeta o SharePoint e pode resultar em execução remota de código.
“Um atacante autenticado com permissões de Proprietário do Site pode usar a vulnerabilidade para injetar código arbitrário e executar esse código no contexto do SharePoint Server,” informou a Microsoft em um alerta sobre a falha.
Atualizações e Exploração
Patches para esse defeito de segurança foram lançados pela Microsoft como parte das atualizações de Patch Tuesday em julho de 2024. O risco de exploração é ampliado pela disponibilidade de provas de conceitos (PoC) para essa falha na esfera pública.
“O script PoC […] automatiza a autenticação em um site SharePoint alvo usando NTLM, cria uma pasta e arquivo específicos, e envia um payload XML elaborado para acionar a vulnerabilidade na API do cliente SharePoint,” afirmou a SOCRadar.
Implicações e Ações Necessárias
Atualmente, não há relatos de como a CVE-2024-38094 está sendo explorada no mundo real. À luz do abuso em campo, as agências do Federal Civilian Executive Branch (FCEB) são obrigadas a aplicar as correções mais recentes até 12 de novembro de 2024, para proteger suas redes.
Outra Vulnerabilidade em Processadores Móbiles da Samsung
Além da questão do SharePoint, o Grupo de Análise de Ameaças do Google (TAG) revelou uma vulnerabilidade de zero-day corrigida em processadores móveis da Samsung, que foi utilizada como parte de uma cadeia de exploração para alcançar a execução arbitrária de código.
A vulnerabilidade, designada como CVE-2024-44068 e com uma pontuação CVSS de 8.1, foi abordada em 7 de outubro de 2024. A gigante eletrônica sul-coreana caracterizou-a como um “uso após a liberação” no processador móvel, que resulta em escalonamento de privilégios.
“O ator é capaz de executar código arbitrário em um processo de cameraserver privilegiado,” afirmaram os pesquisadores. “A exploração também renomeou o próprio nome do processo para ‘vendor.samsung.hardware.camera.provider@3.0-service’, provavelmente para fins antiforenses.”
Propostas de Segurança pela CISA
Essas revelações seguem uma nova proposta da CISA que estabelece uma série de requisitos de segurança para prevenir o acesso em massa a dados pessoais sensíveis dos EUA ou dados relacionados ao governo por países de interesse e pessoas cobertas.
Requisitos de Remediação
De acordo com as diretrizes, as organizações devem:
- Remediar vulnerabilidades exploradas conhecidas em até 14 dias corridos;
- Corrigir vulnerabilidades críticas sem exploração em até 15 dias corridos;
- Resolver vulnerabilidades de alta severidade sem exploração em até 30 dias corridos.
“Para garantir e validar que um sistema coberto nega o acesso a dados cobertos por pessoas cobertas, é necessário manter registros de auditoria de tais acessos, assim como processos organizacionais para utilizar esses registros,” disse a agência.
Essas medidas visam criar um ambiente digital mais seguro e controlado, respondendo proativamente a situações de vulnerabilidade emergentes.
#Vulnerabilidade #SegurançaDigital #MicrosoftSharePoint #CISA #Samsung #Cibersegurança #CVE2024