CVE-2024-38094: Sicherheitslücke ermöglicht Remote Code Execution in Microsoft SharePoint Server

Table of Contents

Am 9. Juli 2024 veröffentlichte Microsoft eine kritische Sicherheitslücke mit der Kennung CVE-2024-38094, die eine Remote Code Execution (RCE) in Microsoft SharePoint ermöglicht. Die Schwachstelle, die als wichtig eingestuft wurde, betrifft mehrere Versionen von SharePoint, darunter SharePoint Server Subscription Edition, SharePoint Server 2019 und SharePoint Enterprise Server 2016.

Die Ursache der Lücke ist eine unsichere Deserialisierung unzuverlässiger Daten (CWE-502), die es einem authentifizierten Angreifer mit Site Owner-Rechten ermöglicht, beliebigen Code in der SharePoint-Serverumgebung auszuführen. Der Angriff erfordert keine Benutzerinteraktion und nutzt die Netzwerkebene als Angriffsvektor, wobei die Komplexität als gering eingestuft wird. Aufgrund der Schwere der Schwachstelle weist sie einen CVSS-Score von 7.2 auf.

Funktionsweise des Exploits

Ein Exploit auf Github ist bereits aufgetaucht. Dies wird durch eine Kombination von Webanforderungen erreicht, die manipulierte Anfragen an den SharePoint-Server senden.

1. Authentifizierung über NTLM

Das Skript verwendet NTLM-Authentifizierung, um sich mit den bereitgestellten Anmeldedaten beim SharePoint-Server anzumelden.

Wenn die Anmeldedaten korrekt sind und der Benutzer die erforderlichen Site Owner-Berechtigungen hat, wird der Zugriff auf die API gewährt.

2. Anlegen eines Ordners und Hochladen einer Datei

Das Skript erstellt einen neuen Ordner in der SharePoint-Webanwendung, der für den Business Data Metadata Catalog (BDC) verwendet wird. In diesen Ordner wird anschließend eine spezielle BDCMetadata.bdcm-Datei hochgeladen:

kopierenburp0_url = target + "/_api/web/Folders"  
burp0_json={"__metadata": {"type": "SP.Folder"}, "ServerRelativeUrl": site + "/BusinessDataMetadataCatalog"}

Die hochgeladene Datei enthält manipulierte BDC-Metadaten, die eine Verbindung zu einem internen SharePoint-Dienst herstellen. Diese Datei ermöglicht es, Systemkommandos auszuführen oder auf sensible Ressourcen zuzugreifen.

3. Triggern der Sicherheitslücke

Der entscheidende Teil des Exploits tritt auf, wenn das Skript eine Anfrage an den SharePoint-Dienst client.svc stellt, der zur Verarbeitung von Business Data Catalog-Informationen verwendet wird:

kopierenburp0_url = target + "/_vti_bin/client.svc/ProcessQuery"

Hierbei wird eine speziell präparierte XML-Anfrage gesendet, die den BDC-Dienst dazu bringt, die im hochgeladenen BDCMetadata.bdcm-Dokument hinterlegte Funktion auszuführen. Diese Anfrage führt zur Ausführung von beliebigem Code im Kontext des SharePoint-Servers.

Related Posts

GitLab Sicherheitspatch vom 23.10.24 stopft XSS Lücke in der Suche

Am 23. Oktober 2024 wurden die neuesten Patch-Versionen 17.5.1, 17.4.3 und 17.3.6 für GitLab Community Edition (CE) und Enterprise Edition (EE) veröffentlicht. Diese Releases enthalten bedeutende Fehlerbehebungen und Sicherheitsupdates, die für alle selbstverwalteten GitLab-Installationen dringend empfohlen werden. GitLab.com betreibt bereits die aktualisierten Versionen, und Kunden von GitLab Dedicated müssen keine Maßnahmen ergreifen.

Read More

Kritische Systemübernahme-Lücke in Cisco Secure Firewall Management Center Software (CVE-2024-20424)

Am 23. Oktober 2024 veröffentlichte Cisco eine Sicherheitswarnung zu einer schwerwiegenden Schwachstelle in der Cisco Secure Firewall Management Center (FMC) Software. Die Schwachstelle, die mit der CVE-Nummer CVE-2024-20424 versehen wurde, ermöglicht es einem authentifizierten, entfernten Angreifer, beliebige Befehle mit Root-Rechten auf dem betroffenen System auszuführen. Diese Schwachstelle wurde als kritisch eingestuft und hat einen CVSS-Score von 9.9.

Read More

Datenleck bei TÜV und DEKRA: KFZ Gutachten frei im Netz einsehbar

Laut einem Bericht von Günther Born auf seinem Blog Borncity.com wurden Kfz-Gutachten der Prüforganisationen TÜV Rheinland und DEKRA im Internet ohne ausreichenden Schutz abrufbar. Dieser Vorfall, der am 19. Oktober 2024 bekannt wurde, betrifft zahlreiche Kfz-Gutachten, die persönliche Informationen der Fahrzeughalter sowie technische Daten der Fahrzeuge enthielten. Betroffen sind Gutachten, die in Zusammenhang mit Unfallfahrzeugen oder Zustandsbewertungen erstellt wurden.

Read More