Nowa luka wysokiego ryzyka w Microsoft SharePoint została dodana do katalogu znanych podatności wykorzystywanych przez cyberprzestępców. Agencja Cyberbezpieczeństwa i Infrastruktury Stanów Zjednoczonych (CISA) poinformowała o aktywnym wykorzystywaniu tego zagrożenia w praktyce. Jest to luka opisana jako CVE-2024-38094, z wynikiem CVSS wynoszącym 7,2, co oznacza jej wysokie zagrożenie. Klasyfikowana jest jako podatność na deserializację w SharePoint, co może prowadzić do zdalnego wykonania kodu.
Zagrożenie dla użytkowników SharePoint
Jak wynika z danych Microsoftu, luka pozwala na wstrzyknięcie dowolnego kodu i jego wykonanie w kontekście serwera SharePoint. Kluczowym czynnikiem jest to, że atakujący musi być uwierzytelniony i posiadać uprawnienia właściciela witryny. To jednak nie łagodzi zagrożenia, ponieważ wielu użytkowników korzysta z SharePoint w ramach wewnętrznych sieci firmowych, gdzie takie uprawnienia mogą być nadawane z różnych powodów. W efekcie, osoba posiadająca odpowiednie uprawnienia może przejąć kontrolę nad systemem.
Dostępne rozwiązania i łatki
Luka została załatana przez Microsoft jako część aktualizacji Patch Tuesday w lipcu 2024 roku. Niemniej jednak, ryzyko pozostaje, ponieważ exploity typu proof-of-concept (PoC) są już dostępne publicznie. Exploit ten działa, automatyzując proces uwierzytelniania do witryny SharePoint z wykorzystaniem NTLM, tworząc określony folder i plik, a następnie wysyłając sfałszowany ładunek XML, który wywołuje podatność w API klienta SharePoint. To sprawia, że cyberprzestępcy mogą łatwo wykorzystać ten błąd w swoich atakach.
Brak raportów o rzeczywistych atakach
Na chwilę obecną nie ma informacji o rzeczywistych atakach wykorzystujących CVE-2024-38094. Jednak z uwagi na dostępność PoC w domenie publicznej, agencje federalne w Stanach Zjednoczonych mają obowiązek zainstalowania najnowszych poprawek bezpieczeństwa do 12 listopada 2024 roku, aby zabezpieczyć swoje sieci. Organizacje używające SharePoint są zachęcane do bezzwłocznej aktualizacji swoich systemów, aby zminimalizować ryzyko ataków.
Nowa luka w procesorach mobilnych Samsunga
Ta podatność w SharePoint to nie jedyne zagrożenie, jakie niedawno ujawniono. Grupa badawcza Google TAG odkryła, że podatność typu zero-day w procesorach mobilnych Samsunga była częścią łańcucha ataków umożliwiających wykonanie dowolnego kodu. CVE-2024-44068, z wynikiem CVSS wynoszącym 8,1, została załatana 7 października 2024 roku. Luka ta dotyczyła problemu z zarządzaniem pamięcią w procesorach Samsunga, co mogło prowadzić do eskalacji uprawnień.
Według badaczy z Google TAG, luka była wykorzystywana przez cyberprzestępców, aby uzyskać dostęp do uprzywilejowanych procesów serwera kamery. Co więcej, exploit modyfikował nazwę procesu, zmieniając ją na „vendor.samsung.hardware.camera.provider@3.0-service”, co prawdopodobnie miało na celu utrudnienie śledztwa w przypadku wykrycia ataku.
Zalecenia CISA dla organizacji
Wraz z coraz większą liczbą ujawnianych luk, CISA przedstawiła nowe propozycje dotyczące wymogów bezpieczeństwa, aby zapobiec nieautoryzowanemu dostępowi do danych wrażliwych w Stanach Zjednoczonych. Organizacje są teraz zobowiązane do naprawiania znanych podatności w ciągu 14 dni kalendarzowych, natomiast krytyczne luki, które nie posiadają exploitów, muszą być załatane w ciągu 15 dni. Z kolei luki o wysokim ryzyku, ale bez dostępnych exploitów, muszą być naprawiane w ciągu 30 dni.
Aby spełnić te wymogi, organizacje muszą utrzymywać dzienniki dostępu oraz procesy audytowe, które pomogą w monitorowaniu dostępu do danych. Ważnym elementem jest również opracowanie systemów zarządzania tożsamością, które umożliwią kontrolę nad tym, kto ma dostęp do określonych zbiorów danych.
Podsumowanie
Ostatnie ujawnienia luk w SharePoint i procesorach Samsunga pokazują, jak istotne jest ciągłe monitorowanie i aktualizowanie systemów w celu zapobiegania możliwym atakom. Organizacje, które opóźniają instalację dostępnych poprawek, narażają się na poważne ryzyko, zwłaszcza w obliczu coraz bardziej zaawansowanych exploitów dostępnych publicznie. Regularne aktualizacje, monitorowanie logów i zarządzanie tożsamością to kluczowe aspekty, które mogą pomóc w ochronie przed potencjalnymi atakami.