A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica no Microsoft SharePoint, identificada como CVE-2024-38094, que foi adicionada ao Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). A falha, que possui uma pontuação de 7,2 no sistema CVSS, permite a execução remota de código. A vulnerabilidade ocorre devido a um problema de desserialização, o que permite que um invasor autenticado com permissões de proprietário de site injete e execute código arbitrário no contexto do SharePoint Server.
A Microsoft já havia lançado patches de segurança para essa falha como parte de suas atualizações em julho de 2024. Entretanto, o risco de exploração aumentou devido à disponibilidade pública de scripts de prova de conceito (PoC), que facilitam o uso da vulnerabilidade. Um desses scripts automatiza o processo de autenticação e permite a injeção de código malicioso através de uma carga XML específica enviada ao servidor.
Embora não haja, até o momento, relatos detalhados sobre o uso da vulnerabilidade em ambientes reais, as agências federais dos EUA foram orientadas a aplicar as correções necessárias até 12 de novembro de 2024 para proteger suas redes contra possíveis ataques.
Em um contexto mais amplo de cibersegurança, o Google Threat Analysis Group (TAG) também divulgou informações sobre uma outra vulnerabilidade, identificada como CVE-2024-44068, presente em processadores móveis da Samsung. Com uma pontuação de 8,1 no CVSS, essa falha, que já foi corrigida, permitia a execução de código arbitrário através da exploração de um processo de câmera privilegiado. Embora não haja confirmação de que a vulnerabilidade tenha sido amplamente explorada, o Google alerta sobre o uso dessa falha em cadeias de ataque.
Essas revelações vêm no momento em que a CISA também propõe novos requisitos de segurança para impedir o acesso indevido a dados sensíveis dos EUA, exigindo que as organizações apliquem correções para vulnerabilidades críticas em até 15 dias, ou 14 dias se a vulnerabilidade já estiver sendo explorada.
