Avis du 7 novembre : Vulnérabilités de Microsoft SharePoint [CVE-2024-38094 et autres].

Date de divulgation : 9 juillet 2024
Date d'ajout à CISA KEV : 22 octobre 2024

CVE-2024-38094, CVE-2024-38024et CVE-2024-38023 sont des vulnérabilités d'exécution de code à distance (RCE) affectant Microsoft Sharepoint. CVE-2024-32987 est une vulnérabilité de divulgation d'informations affectant Microsoft Sharepoint. Les versions Server Subscription Edition, Server 2019 et Enterprise Server 2016 Sharepoint sont tous affectés par ces exploits.

CVE-2024-38094 a été ajoutée à la liste des vulnérabilités exploitées connues (KEV) de la CISA le 22 octobre 2024. Dans un récent billet de blog récent de Rapid7, l'équipe de réponse aux incidents a décrit une exploitation active de Microsoft SharePoint, où les attaquants ont tiré parti de la vulnérabilité CVE-2024-38094 pour obtenir un accès non autorisé. Cette brèche a permis aux attaquants d'installer des outils malveillants, de désactiver les défenses de sécurité et de se déplacer latéralement sur le réseau, compromettant ainsi l'ensemble du domaine. Leur message comprend divers indicateurs de compromission observés sur l'hôte de la victime à la suite de l'attaque.

Les produits Microsoft SharePoint affectés par ces vulnérabilités - à savoir SharePoint Server Subscription Edition, SharePoint Server 2016 Enterprise et SharePoint Server 2019 - sont souvent accessibles sur internet en raison de leur conception pour la collaboration et le partage de documents. Les organisations configurent généralement SharePoint pour qu'il soit orienté vers Internet afin de prendre en charge l'accès à distance, ce qui permet aux employés et aux partenaires de se connecter depuis n'importe où. 

Cette exposition peut également créer des risques de sécurité si elle n'est pas correctement sécurisée par des correctifs et des configurations à jour. Lorsque les serveurs SharePoint doivent être accessibles via Internet, les organisations devraient mettre en œuvre un accès VPN ou Zero Trust, appliquer une authentification multifactorielle, appliquer régulièrement des correctifs et utiliser des pare-feu d'application Web pour se protéger contre l'accès non autorisé et l'exploitation.

 

Champ d'application	Détails
CVE-ID	CVE-2024-38094 - CVSS 7.2 (élevé) attribué par Microsoft	CVE-2024-38024 - CVSS 7.2 (élevé) attribué par Microsoft	CVE-2024-38023 - CVSS 7.2 (élevé) attribué par Microsoft	CVE-2024-32987 - CVSS 7.5 (élevé) attribué par Microsoft
Description de la vulnérabilité	CVE-2024-38094, CVE-2024-38024et CVE-2024-38023 sont des vulnérabilités d'exécution de code à distance où le produit désérialise des données non fiables sans vérifier suffisamment que les données résultantes seront valides. CVE-2024-32987 est une vulnérabilité de divulgation d'informations dans laquelle le serveur web reçoit une URL ou une requête similaire d'un composant en amont et récupère le contenu de cette URL, mais ne s'assure pas suffisamment que la requête est envoyée à la destination attendue.
Date de la divulgation	9 juillet 2024
Actifs touchés	Microsoft SharePoint Server Subscription Edition Microsoft SharePoint Server 2019  Microsoft SharePoint Enterprise Server 2016
Versions de logiciels vulnérables	Actuellement inconnue
PoC disponible ?	Oui, le code PoC est disponible ici sur GitHub pour CVE-2024-38094, CVE-2024-38024et CVE-2024-38023. Au moment de la rédaction de ce document, nous n'avons pas observé de code PoC disponible pour CVE-2024-32987.
Statut d'exploitation	CVE-2024-38094 est activement exploitée et figure dans la base de données CISA KEV. Au moment de la rédaction du présent rapport, les autres vulnérabilités n'ont pas été activement exploitées, bien qu'un code PoC soit disponible pour les vulnérabilités suivantes CVE-2024-38024 et CVE-2024-38023.
Statut du patch	Microsoft a publié une mise à jour de sécurité avec des liens vers chacune des vulnérabilités traitées dans cet avis, y compris des instructions pour la mise à jour vers la dernière version pour chacun des produits concernés.

Censys Perspective

Au moment de la rédaction du présent document, Censys observait 486,182 instances Microsoft Sharepoint exposées en ligne, en filtrant les pots de miel. La grande majorité d'entre elles (74 %) sont géolocalisées aux États-Unis. Censys a observé qu'environ 93 % des instances exposées étaient associées à Microsoft Corporation (ASN 8075). Il convient de noter que toutes ces instances ne sont pas nécessairement vulnérables, car les versions spécifiques des appareils ne sont pas toujours disponibles.

Carte des instances Microsoft SharePoint exposées :

Censys Requête de recherche :

services.software: (vendor="Microsoft" and product="SharePoint") and not labels: {tarpit, honeypot}

Censys Requête ASM :

host.services.software.vendor="Microsoft" AND host.services.software.product="SharePoint" and not host.labels: {tarpit, honeypot}

Références

• https://nvd.nist.gov/vuln/detail/CVE-2024-38094
• https://nvd.nist.gov/vuln/detail/CVE-2024-38024
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-38023
• https://nvd.nist.gov/vuln/detail/CVE-2024-32987
• https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-sharepoint-server-subscription-edition-july-9-2024-kb5002606-37569899-5abc-49a2-bd5e-f0ae45528f8f
• https://www.bleepingcomputer.com/news/security/microsoft-sharepoint-rce-bug-exploited-to-breach-corporate-network/
• https://thehackernews.com/2024/10/cisa-warns-of-active-exploitation-of.html
• https://github.com/testanull/MS-SharePoint-July-Patch-RCE-PoC
• https://www.rapid7.com/blog/post/2024/10/30/investigating-a-sharepoint-compromise-ir-tales-from-the-field/