Cacat dengan tingkat keparahan tinggi yang berdampak pada Microsoft SharePoint telah ditambahkan ke katalog Kerentanan yang Diketahui Tereksploitasi (KEV) oleh Badan Keamanan Siber dan Infrastruktur AS (CISA) pada hari Selasa, mengutip bukti eksploitasi aktif.
Kerentanan tersebut, yang dilacak sebagai CVE-2024-38094 (skor CVSS: 7.2), telah digambarkan sebagai kerentanan deserialisasi yang berdampak pada SharePoint yang dapat mengakibatkan eksekusi kode jarak jauh.
“Penyerang yang diautentikasi dengan izin Pemilik Situs dapat menggunakan kerentanan untuk memasukkan kode arbitrer dan mengeksekusi kode ini dalam konteks SharePoint Server,” kata Microsoft dalam peringatan atas kelemahan tersebut.
Patch untuk kelemahan keamanan dirilis oleh Redmond sebagai bagian dari pembaruan Patch Tuesday untuk bulan Juli 2024. Risiko eksploitasi diperparah oleh fakta bahwa eksploitasi proof-of-concept (PoC) untuk kelemahan tersebut tersedia di domain publik.
“Skrip PoC […] mengotomatiskan autentikasi ke situs SharePoint target menggunakan NTLM, membuat folder dan file tertentu, dan mengirimkan payload XML yang dibuat untuk memicu kerentanan di API klien SharePoint,” kata SOCRadar.
Saat ini belum ada laporan tentang bagaimana CVE-2024-38094 dieksploitasi di alam liar. Mengingat adanya penyalahgunaan yang terjadi di luar negeri, lembaga Cabang Eksekutif Sipil Federal (FCEB) diharuskan menerapkan perbaikan terbaru paling lambat tanggal 12 November 2024, untuk mengamankan jaringan mereka.
Perkembangan ini terjadi ketika Grup Analisis Ancaman (TAG) Google mengungkapkan bahwa kerentanan zero-day yang kini telah ditambal pada prosesor seluler Samsung telah dijadikan senjata sebagai bagian dari rantai eksploitasi untuk mencapai eksekusi kode arbitrer.
Diberikan pengidentifikasi CVE CVE-2024-44068 (skor CVSS 8.1), ini telah ditangani pada tanggal 7 Oktober 2024, dengan raksasa elektronik Korea Selatan mengkarakterisasikannya sebagai “penggunaan setelah bebas dalam prosesor seluler [that] mengarah pada peningkatan hak istimewa.”
Meskipun peringatan singkat Samsung tidak menyebutkan bahwa Samsung telah dieksploitasi secara liar, peneliti Google TAG Xingyu Jin dan Clement Lecigne mengatakan eksploitasi zero-day untuk kelemahan tersebut digunakan sebagai bagian dari rantai peningkatan hak istimewa.
“Aktor dapat mengeksekusi kode arbitrer dalam proses server kamera yang memiliki hak istimewa,” kata para peneliti. “Eksploitasi ini juga mengganti nama proses itu sendiri menjadi '[email protected],' mungkin untuk tujuan anti-forensik.”
Pengungkapan ini juga mengikuti usulan baru dari CISA yang mengajukan serangkaian persyaratan keamanan untuk mencegah akses massal ke data pribadi sensitif AS atau data terkait pemerintah oleh negara-negara yang menjadi perhatian dan orang-orang yang dilindungi.
Sejalan dengan persyaratan tersebut, organisasi diharapkan dapat memulihkan kerentanan yang telah dieksploitasi dalam waktu 14 hari kalender, kerentanan kritis tanpa eksploitasi dalam waktu 15 hari kalender, dan kerentanan dengan tingkat keparahan tinggi tanpa eksploitasi dalam waktu 30 hari kalender.
“Untuk memastikan dan memvalidasi bahwa sistem yang tercakup menolak akses orang yang tercakup ke data yang tercakup, penting untuk memelihara log audit dari akses tersebut serta proses organisasi untuk memanfaatkan log tersebut,” kata badan tersebut.
“Demikian pula, penting bagi sebuah organisasi untuk mengembangkan proses dan sistem manajemen identitas untuk membangun pemahaman tentang orang-orang yang mungkin memiliki akses ke kumpulan data yang berbeda.”
