Een zeer ernstige fout die invloed heeft op Microsoft SharePoint is dinsdag door de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, onder verwijzing naar bewijs van actieve exploitatie.
De kwetsbaarheid, bijgehouden als CVE-2024-38094 (CVSS-score: 7,2), is beschreven als een deserialisatiekwetsbaarheid die invloed heeft op SharePoint en kan leiden tot uitvoering van externe code.
“Een geverifieerde aanvaller met site-eigenaarrechten kan de kwetsbaarheid gebruiken om willekeurige code te injecteren en deze code uit te voeren in de context van SharePoint Server”, zei Microsoft in een waarschuwing voor de fout.
Patches voor het beveiligingsfout zijn door Redmond uitgebracht als onderdeel van de Patch Tuesday-updates voor juli 2024. Het exploitatierisico wordt nog verergerd door het feit dat proof-of-concept (PoC) exploits voor de fout beschikbaar zijn in het publieke domein.
“Het PoC-script (…) automatiseert de authenticatie op een SharePoint-doelsite met behulp van NTLM, creëert een specifieke map en bestand en verzendt een vervaardigde XML-payload om de kwetsbaarheid in de SharePoint-client-API te activeren”, aldus SOCRadar.
Er zijn momenteel geen rapporten over hoe CVE-2024-38094 in het wild wordt geëxploiteerd. In het licht van misbruik in het wild zijn de agentschappen van de Federal Civilian Executive Branch (FCEB) verplicht om vóór 12 november 2024 de nieuwste oplossingen toe te passen om hun netwerken te beveiligen.
De ontwikkeling komt op het moment dat Google’s Threat Analysis Group (TAG) onthulde dat een nu gepatchte zero-day kwetsbaarheid in de mobiele processors van Samsung is bewapend als onderdeel van een exploitketen om willekeurige code-uitvoering te bewerkstelligen.
Het heeft de CVE-identificatiecode CVE-2024-44068 (CVSS-score van 8,1) gekregen en is vanaf 7 oktober 2024 aangepakt, waarbij de Zuid-Koreaanse elektronicagigant het karakteriseert als een “use-after-free in de mobiele processor (die) leidt tot escalatie van privileges.”
Hoewel het korte advies van Samsung niet vermeldt dat het in het wild is uitgebuit, zeggen Google TAG-onderzoekers Xingyu Jin en Clement Lecigne dat een zero-day-exploit voor de tekortkoming wordt gebruikt als onderdeel van een escalatieketen van privileges.
“De acteur kan willekeurige code uitvoeren in een bevoorrecht cameraserverproces”, aldus de onderzoekers. “De exploit hernoemde ook de procesnaam zelf naar ‘[email protected]’, waarschijnlijk voor anti-forensische doeleinden.”
De onthullingen volgen ook op een nieuw voorstel van CISA dat een reeks beveiligingsvereisten naar voren brengt om bulktoegang tot Amerikaanse gevoelige persoonlijke gegevens of overheidsgerelateerde gegevens door landen van zorg en gedekte personen te voorkomen.
In overeenstemming met de vereisten wordt van organisaties verwacht dat zij bekende uitgebuite kwetsbaarheden binnen 14 kalenderdagen herstellen, kritieke kwetsbaarheden zonder exploit binnen 15 kalenderdagen en zeer ernstige kwetsbaarheden zonder exploits binnen 30 kalenderdagen.
“Om ervoor te zorgen en te valideren dat een gedekt systeem de toegang van gedekte personen tot gedekte gegevens ontzegt, is het noodzakelijk om auditlogboeken van dergelijke toegangen bij te houden, evenals organisatorische processen om die logbestanden te gebruiken”, aldus het agentschap.
“Op dezelfde manier is het voor een organisatie noodzakelijk om processen en systemen voor identiteitsbeheer te ontwikkelen om inzicht te krijgen in welke personen toegang kunnen hebben tot verschillende datasets.”
