Hinweis vom 7. November: Microsoft SharePoint-Sicherheitslücken [CVE-2024-38094 und andere]

Datum der Offenlegung: Juli 9, 2024
Datum der Aufnahme in die KAG KEV: Oktober 22, 2024

CVE-2024-38094, CVE-2024-38024und CVE-2024-38023 sind Sicherheitslücken für die Remotecodeausführung (RCE), die Microsoft Sharepoint betreffen. CVE-2024-32987 ist eine Sicherheitslücke bei der Offenlegung von Informationen, die Microsoft Sharepoint betrifft. Die Server Subscription Edition, Server 2019 und Enterprise Server 2016 Sharepoint-Produkte sind alle von diesen Schwachstellen betroffen.

CVE-2024-38094 wurde am 22. Oktober 2024 in die CISA-Liste der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen. In einem kürzlich erschienenen Blog Beitrag von Rapid7 beschreibt deren Incident Response Team eine aktive Ausnutzung von Microsoft SharePoint, bei der Angreifer die CVE-2024-38094 Schwachstelle ausnutzten, um sich unbefugten Zugang zu verschaffen. Dieses Eindringen ermöglichte es den Angreifern, bösartige Tools zu installieren, Sicherheitsvorkehrungen zu deaktivieren und sich seitlich durch das Netzwerk zu bewegen, um die gesamte Domäne zu kompromittieren. Der Beitrag enthält verschiedene Indikatoren für die Kompromittierung, die auf dem Opfer-Host nach dem Angriff beobachtet wurden.

Die von diesen Schwachstellen betroffenen Microsoft SharePoint-Produkte - SharePoint Server Subscription Edition, SharePoint Server 2016 Enterprise und SharePoint Server 2019 - sind aufgrund ihrer Konzeption für die Zusammenarbeit und gemeinsame Nutzung von Dokumenten häufig über das Internet zugänglich. Unternehmen konfigurieren SharePoint in der Regel so, dass es über das Internet zugänglich ist, um den Fernzugriff zu unterstützen und Mitarbeitern und Partnern die Möglichkeit zu geben, sich von überall aus zu verbinden. 

Diese Exposition kann auch Sicherheitsrisiken mit sich bringen, wenn sie nicht ordnungsgemäß mit aktualisierten Patches und Konfigurationen gesichert wird. Wenn SharePoint-Server über das Internet zugänglich sein müssen, sollten Unternehmen einen VPN- oder Zero-Trust-Zugang implementieren, eine Multi-Faktor-Authentifizierung durchsetzen, regelmäßig Patches anwenden und Web Application Firewalls einsetzen, um sich vor unbefugtem Zugriff und Ausnutzung zu schützen.

 

Feld	Einzelheiten
CVE-ID	CVE-2024-38094 - CVSS 7.2 (Hoch) zugewiesen von Microsoft	CVE-2024-38024 - CVSS 7.2 (Hoch) zugewiesen von Microsoft	CVE-2024-38023 - CVSS 7.2 (Hoch) zugewiesen von Microsoft	CVE-2024-32987 - CVSS 7.5 (Hoch) zugewiesen von Microsoft
Schwachstelle Beschreibung	CVE-2024-38094, CVE-2024-38024und CVE-2024-38023 sind Sicherheitslücken bei der entfernten Codeausführung, bei denen das Produkt nicht vertrauenswürdige Daten deserialisiert, ohne ausreichend zu überprüfen, ob die resultierenden Daten gültig sind. CVE-2024-32987 ist eine Sicherheitsanfälligkeit für die Offenlegung von Informationen, bei der der Webserver eine URL oder eine ähnliche Anforderung von einer vorgeschalteten Komponente empfängt und den Inhalt dieser URL abruft, aber nicht ausreichend sicherstellt, dass die Anforderung an das erwartete Ziel gesendet wird.
Datum der Offenlegung	9. Juli 2024
Betroffene Vermögenswerte	Microsoft SharePoint Server Abonnement-Ausgabe Microsoft SharePoint Server 2019  Microsoft SharePoint Enterprise Server 2016
Anfällige Software-Versionen	Derzeit unbekannt
PoC verfügbar?	Ja, PoC-Code ist verfügbar hier auf GitHub für CVE-2024-38094, CVE-2024-38024und CVE-2024-38023. Zum Zeitpunkt der Erstellung dieses Dokuments haben wir keinen PoC-Code für CVE-2024-32987.
Verwertungsstatus	CVE-2024-38094 wird aktiv ausgenutzt und erscheint im CISA KEV. Zum Zeitpunkt der Erstellung dieses Berichts wurde nicht beobachtet, dass die übrigen Schwachstellen aktiv ausgenutzt werden, obwohl PoC-Code für folgende Schwachstellen verfügbar ist CVE-2024-38024 und CVE-2024-38023.
Patch-Status	Microsoft hat ein Sicherheitsupdate mit Links zu jeder der in diesem Hinweis angesprochenen Sicherheitslücken, einschließlich Anweisungen zur Aktualisierung auf den neuesten Build für jedes der betroffenen Produkte.

Censys Blickwinkel

Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 486,182 exponierte Microsoft Sharepoint-Instanzen online, wobei Honeypots herausgefiltert wurden. Die überwiegende Mehrheit davon (74 %) befindet sich in den Vereinigten Staaten. Censys beobachtete, dass etwa 93 % der exponierten Instanzen mit der Microsoft Corporation (ASN 8075) verbunden sind. Es ist zu beachten, dass nicht alle dieser Instanzen unbedingt anfällig sind, da nicht immer spezifische Geräteversionen verfügbar sind.

Karte der exponierten Microsoft SharePoint-Instanzen:

Censys Search Abfrage:

services.software: (vendor="Microsoft" and product="SharePoint") and not labels: {tarpit, honeypot}

Censys ASM-Abfrage:

host.services.software.vendor="Microsoft" AND host.services.software.product="SharePoint" and not host.labels: {tarpit, honeypot}

Referenzen

• https://nvd.nist.gov/vuln/detail/CVE-2024-38094
• https://nvd.nist.gov/vuln/detail/CVE-2024-38024
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-38023
• https://nvd.nist.gov/vuln/detail/CVE-2024-32987
• https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-sharepoint-server-subscription-edition-july-9-2024-kb5002606-37569899-5abc-49a2-bd5e-f0ae45528f8f
• https://www.bleepingcomputer.com/news/security/microsoft-sharepoint-rce-bug-exploited-to-breach-corporate-network/
• https://thehackernews.com/2024/10/cisa-warns-of-active-exploitation-of.html
• https://github.com/testanull/MS-SharePoint-July-Patch-RCE-PoC
• https://www.rapid7.com/blog/post/2024/10/30/investigating-a-sharepoint-compromise-ir-tales-from-the-field/