Microsoft SharePoint’i etkileyen yüksek önem derecesine sahip bir kusur, Salı günü ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) aktif istismara ilişkin kanıtlara atıfta bulunarak Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklendi.
CVE-2024-38094 (CVSS puanı: 7,2) olarak takip edilen güvenlik açığı, SharePoint’i etkileyen ve uzaktan kod yürütülmesine neden olabilecek bir seri durumdan çıkarma güvenlik açığı olarak tanımlandı.
Microsoft, kusura ilişkin bir uyarıda, “Site Sahibi izinlerine sahip kimliği doğrulanmış bir saldırgan, bu güvenlik açığını kullanarak rastgele kod enjekte edebilir ve bu kodu SharePoint Sunucusu bağlamında çalıştırabilir” dedi.
Güvenlik kusuruna yönelik yamalar, Temmuz 2024’teki Salı Yaması güncellemelerinin bir parçası olarak Redmond tarafından yayımlandı. Kötüye kullanım riski, kusura yönelik kavram kanıtlama (PoC) istismarlarının kamuya açık olması gerçeğiyle daha da artıyor.
“PoC betiği […] SOCRadar, “NTLM kullanarak hedef SharePoint sitesinde kimlik doğrulamayı otomatikleştiriyor, belirli bir klasör ve dosya oluşturuyor ve SharePoint istemci API’sindeki güvenlik açığını tetiklemek için hazırlanmış bir XML verisi gönderiyor.” dedi.
Şu anda CVE-2024-38094’ün vahşi doğada nasıl istismar edildiğine dair hiçbir rapor bulunmuyor. Yaygın suiistimaller ışığında, Federal Sivil Yürütme Organı (FCEB) kurumlarının ağlarının güvenliğini sağlamak için 12 Kasım 2024’e kadar en son düzeltmeleri uygulamaları gerekiyor.
Gelişme, Google’ın Tehdit Analiz Grubu’nun (TAG), Samsung’un mobil işlemcilerindeki yamalanmış sıfır gün güvenlik açığının keyfi kod yürütmeyi sağlamak için bir yararlanma zincirinin parçası olarak silah haline getirildiğini ortaya çıkarmasıyla geldi.
CVE tanımlayıcısı CVE-2024-44068 (CVSS puanı 8,1) olarak atanan bu kod, 7 Ekim 2024 itibarıyla ele alındı ve Güney Koreli elektronik devi, onu “mobil işlemcide bedava kullanım” olarak nitelendirdi. [that] Ayrıcalıkların artmasına yol açıyor.”
Samsung’un kısa uyarısında bunun vahşi ortamda istismar edildiğinden hiç bahsedilmese de, Google TAG araştırmacıları Xingyu Jin ve Clement Lecigne, eksiklik için sıfır gün istismarının ayrıcalık yükseltme zincirinin bir parçası olarak kullanıldığını söyledi.
Araştırmacılar, “Oyuncu, ayrıcalıklı bir kamera sunucusu sürecinde keyfi kod çalıştırabiliyor” dedi. “Bu istismar aynı zamanda işlem adını da muhtemelen adli tıpla mücadele amaçlı olarak ‘[email protected]’ olarak yeniden adlandırdı.”
Açıklamalar ayrıca, ilgili ülkeler ve kapsam dahilindeki kişiler tarafından ABD’nin hassas kişisel verilerine veya hükümetle ilgili verilere toplu erişimi önlemek amacıyla bir dizi güvenlik gereksinimi ortaya koyan CISA’nın yeni bir teklifinin ardından geldi.
Gereksinimler doğrultusunda kuruluşların, istismar edildiği bilinen güvenlik açıklarını 14 takvim günü içinde, herhangi bir istismarın yaşanmadığı kritik güvenlik açıklarını 15 takvim günü içerisinde ve herhangi bir istismarın yaşanmadığı yüksek önemdeki güvenlik açıklarını 30 takvim günü içerisinde düzeltmeleri bekleniyor.
Ajans, “Kapsanan bir sistemin, kapsam dahilindeki kişilerin kapsam dahilindeki verilere erişimini reddettiğini sağlamak ve doğrulamak için, bu tür erişimlerin denetim günlüklerinin yanı sıra bu günlükleri kullanmaya yönelik kurumsal süreçlerin tutulması da gereklidir” dedi.
“Benzer şekilde, bir kuruluşun hangi kişilerin farklı veri kümelerine erişebileceğine dair bir anlayış oluşturmak için kimlik yönetimi süreçleri ve sistemleri geliştirmesi gereklidir.”