CISA warnt vor aktiver Ausnutzung einer Microsoft SharePoint-Schwachstelle
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat am Dienstag eine kritische Sicherheitslücke in Microsoft SharePoint in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen. Diese Entscheidung basiert auf Hinweisen, dass die Schwachstelle bereits aktiv von Angreifern ausgenutzt wird.
Die Sicherheitslücke mit der Kennung CVE-2024-38094 (CVSS-Score: 7,2) betrifft Microsoft SharePoint und wird als Deserialisierungs-Schwachstelle beschrieben. Sie ermöglicht einem Angreifer mit Site-Owner-Rechten die Ausführung von beliebigem Code auf einem SharePoint-Server. Microsoft weist darauf hin, dass ein authentifizierter Angreifer durch diese Schwachstelle in der Lage ist, Code einzuschleusen und auszuführen.
Bereits im Juli 2024 wurden Patches für diesen Fehler im Rahmen der Patch-Tuesday-Updates veröffentlicht. Das Risiko einer Ausnutzung der Schwachstelle ist jedoch erhöht, da öffentlich verfügbare Proof-of-Concept (PoC)-Exploits existieren. Ein solches PoC-Skript automatisiert laut SOCRadar den Angriff auf eine SharePoint-Zielseite. Es meldet sich automatisch per NTLM an, erstellt bestimmte Dateien und Ordner und sendet eine manipulierte XML-Nutzlast, um die Schwachstelle in der SharePoint-Client-API auszunutzen.
Zwar gibt es bisher keine Berichte über tatsächliche Angriffe, die CVE-2024-38094 ausnutzen, jedoch verpflichtet der bekannte Missbrauch die Behörden der Federal Civilian Executive Branch (FCEB) dazu, die neuesten Sicherheitsupdates bis spätestens 12. November 2024 anzuwenden, um ihre Netzwerke zu schützen.
Diese Enthüllung folgt auf einen Bericht der Threat Analysis Group (TAG) von Google, in dem aufgedeckt wurde, dass eine zuvor ungepatchte Zero-Day-Schwachstelle in Samsung-Mobilprozessoren aktiv in einer Exploit-Kette genutzt wurde, um beliebigen Code auszuführen. Die Schwachstelle mit der Kennung CVE-2024-44068 (CVSS-Score: 8,1) wurde erst am 7. Oktober 2024 von Samsung behoben und als „use-after-free“-Fehler im Mobilprozessor identifiziert, der zu einer ungewollten Privilegienerweiterung führt.
Obwohl Samsungs offizielle Stellungnahme keine Hinweise darauf enthält, dass die Schwachstelle aktiv in freier Wildbahn ausgenutzt wurde, schildern die TAG-Forscher Xingyu Jin und Clement Lecigne ein anderes Bild: Ein Zero-Day-Exploit nutzte die Lücke tatsächlich als Teil einer Kette zur Privilegienerweiterung. Laut den Experten kann der Angreifer dadurch beliebigen Code in einem hoch privilegierten Cameraserver-Prozess ausführen. Interessanterweise haben die Angreifer den Prozessnamen in „vendor.samsung.hardware.camera.provider@3.0-service“ geändert – möglicherweise, um Spuren zu verwischen und forensische Analysen zu erschweren.
Diese Enthüllungen fallen auch mit einem neuen Vorschlag der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) zusammen, der strenge Sicherheitsanforderungen formuliert, um den unbefugten Zugriff auf persönliche oder regierungsrelevante Daten zu verhindern – insbesondere durch ausländische Akteure. Der Vorschlag fordert Unternehmen auf, bekannte Sicherheitslücken innerhalb von 14 Kalendertagen zu beheben. Kritische Schwachstellen, auch wenn sie noch nicht ausgenutzt werden, sollen innerhalb von 15 Tagen geschlossen werden, während als hochriskant eingestufte, ungenutzte Schwachstellen binnen 30 Tagen behoben sein müssen.
Zur wirksamen Absicherung verlangt CISA, dass Organisationen Audit-Protokolle führen, um jede Art von Zugriff auf sensible Daten zu dokumentieren und zu überwachen. Diese Protokolle sollen helfen, den Zugang potenziell gefährlicher Akteure zu identifizieren und zu sperren. Zudem sollen die Organisationen robuste Identitätsmanagementsysteme entwickeln, um genau nachzuverfolgen, welche Personen auf bestimmte Datensätze zugreifen dürfen.