SharePoint nulldagssårbarhet med aktiv utnyttelse lagt til CISA KEV-katalog. Ny ClickLock skadevare for macOS tvinger brukere til å oppgi innloggingspassord. Claude-utvidelse for Chrome kan misbrukes av ondsinnede nettleserutvidelser.
SharePoint nulldagssårbarhet med aktiv utnyttelse lagt til CISA KEV-katalog
Amerikanske CISA har lagt til sårbarheten CVE-2026-58644 i sin liste over kjente aktivt utnyttede sårbarheter (KEV). Feilen påvirker lokale installasjoner av Microsoft SharePoint Server Subscription Edition, SharePoint Server 2019 og SharePoint Enterprise Server 2016. Sårbarheten har CVSS-score 9,8 og skyldes usikker deserialisering, noe som kan føre til fjernkjøring av kode (RCE).
For å utnytte feilen må angriperen være autentisert med minst Site Owner-rettigheter. Microsoft bekrefter at sårbarheten har blitt utnyttet som en nulldag før sikkerhetsoppdateringene ble publisert i juli 2026. Angrepene vurderes som relativt enkle å gjennomføre og kan gi angripere vedvarende tilgang til kompromitterte SharePoint-miljøer.
CISA advarer samtidig om aktiv utnyttelse av flere SharePoint-sårbarheter som kan brukes til å stjele IIS-maskinnøkler, oppnå persistens og installere skadevare på lokale SharePoint-servere. Organisasjoner anbefales å installere de nyeste oppdateringene umiddelbart, aktivere AMSI-integrasjon, overvåke logger for mistenkelig aktivitet, fjerne eventuelle inntrengningsartefakter og begrense eller unngå direkte eksponering av SharePoint-servere mot internett.
Prioriter patching av alle berørte SharePoint-servere, verifiser at oppdateringene er korrekt installert, og gjennomfør en gjennomgang av miljøet for tegn på kompromittering før eventuell rotasjon av IIS-maskinnøkler.
Ny ClickLock skadevare for macOS tvinger brukere til å oppgi innloggingspassord
ClickLock er en ny informasjonsstjelende skadevare for macOS som bruker sosial manipulering til å få brukere til å oppgi systempassordet sitt. Angrepet starter trolig med en ClickFix lokkemetode der brukeren lures til å kjøre en kommando i Terminal, som viser en falsk Cloudflare verifisering samtidig som skadevaren lastes ned i bakgrunnen og varsler deaktiveres. Dersom brukeren avviser det falske passordvinduet, etablerer skadevaren vedvarende tilgang gjennom LaunchAgents og avslutter gjentatte ganger sentrale macOS prosesser som Finder, Dock, Terminal og Systeminnstillinger til brukeren oppgir riktig passord. Når passordet er bekreftet, sendes det til angriperen via Telegram, samtidig som skadevaren samler inn nettleserdata, informasjonskapsler, lagrede passord, kryptolommebøker, passordbehandlerdata og annen systeminformasjon. ClickLock installerer også en modifisert versjon av GSocket som bakdør, noe som gir angriperen vedvarende ekstern tilgang til den kompromitterte enheten. Group IB opplyser at minst 100 systemer i 33 land er rammet, og at skadevaren på analysetidspunktet ikke ble oppdaget av sikkerhetsløsningene tilgjengelige på VirusTotal.
Unngå å kjøre Terminal kommandoer fra ukjente nettsteder. Hvis macOS viser et uventet passordvindu samtidig som systemet ikke reagerer, slå av maskinen ved å holde inne av/på-knappen og start i sikkermodus.
Claude-utvidelse for Chrome kan misbrukes av ondsinnede nettleserutvidelser
En sårbarhet i Anthropics Claude-utvidelse for Chrome kan gjøre det mulig for en ondsinnet nettleserutvidelse å utløse forhåndsdefinerte AI-handlinger uten reell brukerinteraksjon. Feilen ble oppdaget av Manifold Security og skyldes at Claude-utvidelsen ikke bekrefter om klikkhendelser faktisk kommer fra brukeren ved å kontrollere Event.isTrusted.
En angriper må først få offeret til å installere en ondsinnet Chrome-utvidelse med tilgang til claude.ai. Deretter kan utvidelsen generere falske klikk som får Claude til å utføre innebygde arbeidsflyter, blant annet å lese Gmail, håndtere Google Dokumenter, opprette kalenderavtaler eller endre Salesforce-data. Angrepet gir ikke mulighet for vilkårlig prompt injection, men er begrenset til de forhåndsdefinerte oppgavene som finnes i Claude-utvidelsen.
Forskerne identifiserte også parameteren skipPermissions=true, som kan omgå enkelte tillatelseskontroller ved oppstart av utvidelsen. Denne ble klassifisert som informativ fordi den ikke kan utnyttes alene uten en ekstra sårbarhet.
Risikoen er størst for brukere som har koblet Claude til flere tjenester og spesielt dersom innstillingen «Act without asking» er aktivert. Anthropic er varslet om funnene, men forskerne opplyser at sårbarhetene fortsatt er reproducerbare i versjon 1.0.80 av utvidelsen.
Begrens installasjon av nettleserutvidelser til pålitelige kilder, gjennomgå tillatelser regelmessig, og vurder å deaktivere automatiske AI-handlinger som kan utføres uten brukerbekreftelse.