VietNetwork.Vn

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm một lỗ hổng nghiêm trọng ảnh hưởng đến Microsoft SharePoint vào danh mục Lỗ hổng đã khai thác (KEV) vào thứ Ba, trích dẫn bằng chứng về việc khai thác tích cực.

Lỗ hổng bảo mật được theo dõi là CVE-2024-38094 (điểm CVSS: 7.2), được mô tả là lỗ hổng hủy tuần tự hóa ảnh hưởng đến SharePoint có thể dẫn đến thực thi mã từ xa.


Microsoft cho biết trong cảnh báo về lỗ hổng này rằng: "Kẻ tấn công đã được xác thực với quyền của Chủ sở hữu trang web có thể sử dụng lỗ hổng này để chèn mã tùy ý và thực thi mã này trong bối cảnh của SharePoint Server".

Bản vá cho lỗi bảo mật đã được Redmond phát hành như một phần trong bản cập nhật Patch Tuesday cho tháng 7 năm 2024. Rủi ro khai thác còn trầm trọng hơn do bằng chứng khai thác (PoC) cho lỗ hổng này đã có sẵn trên phạm vi công cộng.

SOCRadar cho biết : "Tập lệnh PoC [...] tự động xác thực vào một trang web SharePoint mục tiêu bằng NTLM, tạo một thư mục và tệp cụ thể và gửi một dữ liệu XML được tạo thủ công để kích hoạt lỗ hổng trong API máy khách SharePoint".

Hiện tại không có báo cáo nào về cách CVE-2024-38094 bị khai thác ngoài thực tế. Trước tình trạng lạm dụng ngoài thực tế, các cơ quan của Federal Civilian Executive Branch (FCEB) được yêu cầu áp dụng các bản sửa lỗi mới nhất trước ngày 12 tháng 11 năm 2024 để bảo vệ mạng lưới của họ.

Sự phát triển này diễn ra khi Nhóm phân tích mối đe dọa (TAG) của Google tiết lộ rằng lỗ hổng bảo mật zero-day hiện đã được vá trong bộ xử lý di động của Samsung đã bị lợi dụng như một phần của chuỗi khai thác để thực thi mã tùy ý.

Được gán mã định danh CVE là CVE-2024-44068 (điểm CVSS là 8,1), lỗi này đã được giải quyết kể từ ngày 7 tháng 10 năm 2024, với việc gã khổng lồ điện tử Hàn Quốc mô tả lỗi này là "lỗi sử dụng sau khi giải phóng trong bộ xử lý di động [dẫn đến] leo thang đặc quyền".

Trong khi lời khuyên ngắn gọn của Samsung không đề cập đến việc lỗ hổng này đã bị khai thác ngoài thực tế, các nhà nghiên cứu Xingyu Jin và Clement Lecigne của Google TAG cho biết lỗ hổng zero-day này được sử dụng như một phần của chuỗi leo thang đặc quyền.

"Kẻ tấn công có thể thực thi mã tùy ý trong một quy trình cameraserver được cấp quyền", các nhà nghiên cứu cho biết. "Kẻ tấn công cũng đổi tên chính quy trình thành '[email protected]', có thể là vì mục đích chống điều tra pháp y".

Các tiết lộ này cũng theo sau một đề xuất mới từ CISA đưa ra một loạt các yêu cầu bảo mật nhằm ngăn chặn việc truy cập hàng loạt vào dữ liệu cá nhân nhạy cảm của Hoa Kỳ hoặc dữ liệu liên quan đến chính phủ của các quốc gia đáng quan tâm và những người liên quan.

Theo yêu cầu, các tổ chức phải khắc phục các lỗ hổng đã khai thác trong vòng 14 ngày dương lịch, các lỗ hổng nghiêm trọng không có lỗ hổng khai thác trong vòng 15 ngày dương lịch và các lỗ hổng có mức độ nghiêm trọng cao không có lỗ hổng khai thác trong vòng 30 ngày dương lịch.

Cơ quan này cho biết : "Để đảm bảo và xác thực rằng hệ thống được bảo vệ từ chối quyền truy cập vào dữ liệu được bảo vệ của những người được bảo vệ, cần phải duy trì nhật ký kiểm tra các quyền truy cập đó cũng như các quy trình tổ chức để sử dụng các nhật ký đó".

"Tương tự như vậy, một tổ chức cần phát triển các quy trình và hệ thống quản lý danh tính để hiểu rõ những người nào có thể truy cập vào các tập dữ liệu khác nhau."