Ciberseguridad 360 | CISA alerta sobre explotación activa de vulnerabilidad en Microsoft SharePoint

La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) de EE.UU. a�adi� el martes un fallo de alta gravedad que afecta a Microsoft SharePoint al cat�logo de Vulnerabilidades Explotadas Conocidas (KEV), citando pruebas de explotaci�n activa.

La vulnerabilidad, rastreada como CVE-2024-38094 (puntuaci�n CVSS: 7,2), se ha descrito como una vulnerabilidad de deserializaci�n que afecta a SharePoint y que podr�a dar lugar a la ejecuci�n remota de c�digo.

"Un atacante autenticado con permisos de Site Owner puede utilizar la vulnerabilidad para inyectar c�digo arbitrario y ejecutarlo en el contexto de SharePoint Server", dijo Microsoft en una alerta sobre el fallo.

Los parches para el defecto de seguridad fueron publicados por Redmond como parte de sus actualizaciones del martes de parches de julio de 2024. El riesgo de explotaci�n se ve agravado por el hecho de que los exploits de prueba de concepto (PoC) para el fallo est�n disponibles en el dominio p�blico.

"El script PoC automatiza la autenticaci�n en un sitio SharePoint de destino mediante NTLM, crea una carpeta y un archivo espec�ficos y env�a una carga �til XML manipulada para activar la vulnerabilidad en la API de cliente de SharePoint", afirma SOCRadar.

Actualmente no hay informes sobre c�mo se explota CVE-2024-38094 en la naturaleza. A la luz del abuso in-the-wild, las agencias del Poder Ejecutivo Civil Federal (FCEB) est�n obligadas a aplicar las �ltimas correcciones antes del 12 de noviembre de 2024, para asegurar sus redes.

La noticia llega cuando el Grupo de An�lisis de Amenazas (TAG) de Google ha revelado que una vulnerabilidad zero-day ya parcheada en los procesadores m�viles de Samsung ha sido utilizada como arma en una cadena de exploits para lograr la ejecuci�n arbitraria de c�digo.

Asignado el identificador CVE-2024-44068 (puntuaci�n CVSS: 8,1), se ha abordado a partir del 7 de octubre de 2024, con el gigante surcoreano de la electr�nica caracterizarlo como un "uso despu�s de libre en el procesador m�vil que conduce a la escalada de privilegios."

Aunque el breve aviso de Samsung no menciona que haya sido explotado en la naturaleza, los investigadores de Google TAG Xingyu Jin y Clement Lecigne dijeron que un exploit de d�a cero para la deficiencia se utiliza como parte de una cadena de escalada de privilegios.

"El actor es capaz de ejecutar c�digo arbitrario en un proceso de servidor de c�mara privilegiado", dijeron los investigadores. "El exploit tambi�n renombr� el propio nombre del proceso a 'vendor.samsung.hardware.camera.provider@3.0-service', probablemente con fines antiforenses".

Las revelaciones tambi�n siguen a una nueva propuesta de la CISA que establece una serie de requisitos de seguridad con el fin de evitar el acceso masivo a datos personales sensibles de EE.UU. o datos relacionados con el gobierno por parte de pa�ses de inter�s y personas cubiertas.

De acuerdo con los requisitos, se espera que las organizaciones corrijan las vulnerabilidades conocidas que hayan sido explotadas en un plazo de 14 d�as naturales, las vulnerabilidades cr�ticas que no hayan sido explotadas en un plazo de 15 d�as naturales y las vulnerabilidades de alta gravedad que no hayan sido explotadas en un plazo de 30 d�as naturales.

"Para garantizar y validar que un sistema cubierto deniega a las personas cubiertas el acceso a los datos cubiertos, es necesario mantener registros de auditor�a de dichos accesos, as� como procesos organizativos para utilizar esos registros", dijo la agencia.

"Del mismo modo, es necesario que una organizaci�n desarrolle procesos y sistemas de gesti�n de identidad para establecer una comprensi�n de qu� personas pueden tener acceso a diferentes conjuntos de datos".

Fuente: thehackernews