Uma falha com gravidade 9.8 na escala CVSS está sendo atacada no Microsoft Partner Center, o ecossistema de parceiros da Microsoft. A Microsoft informou o problema em novembro passado, com uma pontuação CVSS de 8,7, mas ela foi atualizada no NVD (National Vulnerability Database), com base em sua baixa complexidade de ataque e alto impacto na confidencialidade e integridade. A falha permite que os agentes de ameaças explorem o backend do Partner Center, obtendo acesso não autorizado necessidade de autenticação.
De acordo com o aviso da Microsoft para o CVE-2024-49035, nenhuma ação do cliente é necessária para resolver a falha, pois ela foi corrigida por meio de uma atualização automática para a versão online do Microsoft Power Apps. Embora a falha tenha sido adicionada ao catálogo KEV esta semana, a Microsoft observou que houve alerta para a exploração em seu aviso de novembro.
Leia também
Microsoft corrige vulnerabilidades críticas
Grupo alega hack das ferramentas de ativação Microsoft
O site do Microsoft Partner Center, em Partner.Microsoft.com, serve como uma plataforma para aqueles que trabalham com a Microsoft para gerenciar seu relacionamento com a Microsoft, clientes e outros parceiros e agilizar processos de negócios, incluindo faturamento e pagamento. Em 2022 , mais de 400.000 organizações faziam parte do Microsoft Partner Network.
O alerta sobre os ataques foi publicado ontem pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), ao adicionar a falha (CVE-2024-49035), ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), e confirmando a exploração ativa em ambientes do mundo real. A mesma publicação informou a exploração de vulnerabilidades no Synacor Zimbra Collaboration Suite (ZCS). A falha do Synacor (CVE-2023-34192) recebeu uma pontuação CVSS de 9,0 e foi informada em julho de 2023.
