La recente vulnerabilità di alta gravità che colpisce Microsoft SharePoint, identificata come CVE-2024-38094, è stata aggiunta al catalogo delle Vulnerabilità Sfruttate Note (KEV) dalla Cybersecurity and Infrastructure Security Agency (CISA). Questa vulnerabilità, con un punteggio CVSS di 7.2, è descritta come un problema di deserializzazione che può portare all'esecuzione di codice da remoto. Un attaccante autenticato con permessi di Site Owner potrebbe sfruttare questa falla per iniettare e eseguire codice arbitrario nel contesto del server SharePoint.

Patch e Sfruttamento

Microsoft ha rilasciato patch per correggere il difetto come parte degli aggiornamenti di Patch Tuesday, già a luglio 2024. Il rischio di sfruttamento è aumentato dalla disponibilità pubblica di exploit proof-of-concept (PoC). Un particolare PoC automatizza l'autenticazione su un sito SharePoint bersaglio usando NTLM, creando una cartella specifica e un file, e invia un payload XML appositamente creato per attivare la vulnerabilità nell'API client di SharePoint.

Attacchi e Misure di Sicurezza

Non ci sono attualmente segnalazioni su come CVE-2024-38094 venga sfruttata in attacchi reali, ma le agenzie del Federal Civilian Executive Branch (FCEB) devono applicare le ultime correzioni entro il 12 novembre 2024 per proteggere le loro reti. Questo sviluppo coincide con la rivelazione del Google Threat Analysis Group (TAG) di una vulnerabilità zero-day ora risolta nei processori mobili di Samsung, sfruttata per esecuzioni di codice arbitrario.

Vulnerabilità nei processori Samsung

La vulnerabilità di Samsung, identificata come CVE-2024-44068 con un punteggio CVSS di 8.1, è stata risolta il 7 ottobre 2024. Sebbene Samsung non abbia menzionato sfruttamenti in natura, i ricercatori di Google TAG hanno indicato che un exploit zero-day per questa vulnerabilità è stato usato come parte di una catena di escalation di privilegi.

Risposta della CISA

In risposta a queste minacce, CISA ha proposto nuovi requisiti di sicurezza per prevenire l'accesso massiccio a dati sensibili da parte di paesi e persone coperte. Le organizzazioni sono tenute a correggere le vulnerabilità note entro 14 giorni di calendario e quelle critiche senza exploit entro 15 giorni.

Avvertimento di Rapid7

Rapid7, una società di cybersecurity, ha avvertito che attori malevoli stanno attivamente sfruttando CVE-2024-38094 per ottenere un accesso iniziale e installare una web shell. Dopo aver stabilito un punto d'appoggio, l'attaccante ha eseguito movimenti laterali e compromesso un account di servizio Microsoft Exchange con privilegi di amministratore di dominio. Gli strumenti usati includono Impacket, Fast Reverse Proxy (FRP), e Mimikatz, disabilitando prima Windows Defender Threat Detection (WDTD) e aggiungendo una regola di esclusione per evitare il rilevamento.