1. Tổng quan và phân tích
Qua hoạt động theo dõi giám sát diễn biến an toàn thông tin trên không gian mạng, Team CyberSec CMC Telecom ghi nhận lỗ hổng CVE-2024-38094 có mức độ nghiêm trọng cao ảnh hưởng đến Microsoft SharePoint, có thể cho phép kẻ tấn công thực thi câu lệnh từ xa tùy ý (RCE) trên hệ thống bị ảnh hưởng.
Theo tài liệu, Microsoft SharePoint Remote Code Execution Vulnerability lỗ hổng CVE-2024-38094 (điểm đánh giá CVSS là 7.2) thuộc danh mục lỗ hổng deserialization ảnh hưởng đến MS SharePoint có thể dẫn đến việc thực thi mã từ xa trên hệ thống mục tiêu mà không cần tương tác trực tiếp với người dùng.
Khi máy chủ SharePoint không kiểm tra đúng cách tính hợp lệ hoặc tính toàn vẹn của dữ liệu trong quá trình giải tuần tự hóa (deserialization). Tác nhân đe dọa đã xác thực có quyền Site Owner có thể khai thác lỗ hổng để chèn mã và thực mã này trong ngữ cảnh SharePoint Server.
Do thiếu sự xác thực thích hợp với dữ liệu đầu vào (input validation), lỗ hổng có thể bị khai thác từ xa mà không cần tương tác từ phía người dùng. Điều này khiến nó trở thành một lỗ hổng nguy hiểm, đặc biệt là trên các hệ thống được cấu hình để nhận các yêu cầu từ các nguồn bên ngoài (internet-exposed).
Hiện tại, bằng chứng khái niệm (POC) đã được công bố, điều này làm cho việc tự động khai thác lỗ hổng trở nên dễ dàng hơn, từ đó nâng cao rủi ro việc bị khai thác công khai.
Link: https://github.com/testanull/MS-SharePoint-July-Patch-RCE-PoC.
2. Ảnh hưởng và giảm thiểu rủi ro
- Microsoft đã phát hành các bản cập nhật để khắc phục lỗ hổng này, thực hiện nâng cấp lên phiên bản mới nhất để khắc phục lỗ hổng Microsoft SharePoint này
- https://www.microsoft.com/en-us/download
| STT | Product | Phiên bản ảnh hưởng | Phiên bản cần nâng cấp |
|---|---|---|---|
| 1 | Microsoft SharePoint Server Subscription Edition | < 16.0.17328.20424 | >= 16.0.17328.20424 |
| 2 | Microsoft SharePoint Server 2019 | < 16.0.10412.20001 | >= 16.0.10412.20001 |
| 3 | Microsoft SharePoint Enterprise Server 2016 | < 16.0.5456.1000 | >= 16.0.5456.1000 |
Chỉ cấp quyền truy cập cần thiết cho người dùng và nhóm tin cậy, giảm thiểu nguy cơ kẻ tấn công lợi dụng lỗ hổng
**Liên quan
- https://www.cisa.gov/news-events/alerts/2024/10/22/cisa-adds-one-known-exploited-vulnerability-catalog
- https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-sharepoint-server-subscription-edition-july-9-2024-kb5002606-37569899-5abc-49a2-bd5e-f0ae45528f8f
- https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-sharepoint-server-2019-july-9-2024-kb5002615-6d31fcef-a998-43aa-947d-f2dd60e1c758
- https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-sharepoint-enterprise-server-2016-july-9-2024-kb5002618-422e4b6a-4cde-4a3c-a446-75f3125bbbfc
- https://nvd.nist.gov/vuln/detail/CVE-2024-38094
