Am 9. Juli 2024 veröffentlichte Microsoft eine kritische Sicherheitslücke mit der Kennung CVE-2024-38094, die eine Remote Code Execution (RCE) in Microsoft SharePoint ermöglicht. Die Schwachstelle, die als wichtig eingestuft wurde, betrifft mehrere Versionen von SharePoint, darunter SharePoint Server Subscription Edition, SharePoint Server 2019 und SharePoint Enterprise Server 2016.
Die Ursache der Lücke ist eine unsichere Deserialisierung unzuverlässiger Daten (CWE-502), die es einem authentifizierten Angreifer mit Site Owner-Rechten ermöglicht, beliebigen Code in der SharePoint-Serverumgebung auszuführen. Der Angriff erfordert keine Benutzerinteraktion und nutzt die Netzwerkebene als Angriffsvektor, wobei die Komplexität als gering eingestuft wird. Aufgrund der Schwere der Schwachstelle weist sie einen CVSS-Score von 7.2 auf.
Funktionsweise des Exploits
Ein Exploit auf Github ist bereits aufgetaucht. Dies wird durch eine Kombination von Webanforderungen erreicht, die manipulierte Anfragen an den SharePoint-Server senden.
1. Authentifizierung über NTLM
Das Skript verwendet NTLM-Authentifizierung, um sich mit den bereitgestellten Anmeldedaten beim SharePoint-Server anzumelden.
Wenn die Anmeldedaten korrekt sind und der Benutzer die erforderlichen Site Owner-Berechtigungen hat, wird der Zugriff auf die API gewährt.
2. Anlegen eines Ordners und Hochladen einer Datei
Das Skript erstellt einen neuen Ordner in der SharePoint-Webanwendung, der für den Business Data Metadata Catalog (BDC) verwendet wird. In diesen Ordner wird anschließend eine spezielle BDCMetadata.bdcm-Datei hochgeladen:
kopierenburp0_url = target + "/_api/web/Folders"
burp0_json={"__metadata": {"type": "SP.Folder"}, "ServerRelativeUrl": site + "/BusinessDataMetadataCatalog"}
Die hochgeladene Datei enthält manipulierte BDC-Metadaten, die eine Verbindung zu einem internen SharePoint-Dienst herstellen. Diese Datei ermöglicht es, Systemkommandos auszuführen oder auf sensible Ressourcen zuzugreifen.
3. Triggern der Sicherheitslücke
Der entscheidende Teil des Exploits tritt auf, wenn das Skript eine Anfrage an den SharePoint-Dienst client.svc stellt, der zur Verarbeitung von Business Data Catalog-Informationen verwendet wird:
kopierenburp0_url = target + "/_vti_bin/client.svc/ProcessQuery"
Hierbei wird eine speziell präparierte XML-Anfrage gesendet, die den BDC-Dienst dazu bringt, die im hochgeladenen BDCMetadata.bdcm-Dokument hinterlegte Funktion auszuführen. Diese Anfrage führt zur Ausführung von beliebigem Code im Kontext des SharePoint-Servers.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: