La Agencia de Seguridad Cibernética e Infraestructura de los EE. UU. (CISA) ha incluido una nueva vulnerabilidad en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV) debido a su evidencia de explotación activa en la naturaleza. Esta vez se trata de una falla crítica de ejecución remota de código que afecta al servidor Microsoft Sharepoint, y está identificada como CVE-2023-24955 (puntuación de CVSS: 7,2). Esta vulnerabilidad permite a un atacante autenticado con privilegios de Propietario del Sitio ejecutar código arbitrario en el servidor.
Microsoft ha abordado la vulnerabilidad y la ha solucionado como parte de sus actualizaciones de los Martes de Parches de mayo de 2023. No obstante, CISA ha agregado la vulnerabilidad a su catálogo KEV debido al aumento de la evidencia de explotación activa en la naturaleza.
Es de destacar que CVE-2023-29357, la falla de escalada de privilegios en SharePoint Server, también fue agregada al catálogo KEV dos meses atrás. StarLabs SG demostró el año pasado que una cadena de explotación que combina ambas vulnerabilidades puede ser utilizada para ejecutar código de manera remota en el servidor. Los investigadores fueron recompensados con un premio de $100,000 en el concurso de piratería Pwn2Own Vancouver.
A pesar de esta demostración, actualmente no se tiene información sobre los ataques que hayan utilizado estas vulnerabilidades ni sobre los actores de amenazas que puedan estar explotándolas. Microsoft asegura que los clientes que hayan habilitado las actualizaciones automáticas ya están protegidos.
Para proteger sus redes contra amenazas activas, se requiere que las agencias ejecutivas civiles federales (FCEB) apliquen las correcciones antes del 16 de abril de 2024.
Vía The Hacker News
