CVE-2023-24955

Microsoft SharePoint Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-03-26

Официальное описание

Microsoft SharePoint Server contains a code injection vulnerability that allows an authenticated attacker with Site Owner privileges to execute code remotely.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-24955 представляет собой критическую уязвимость типа Remote Code Injection (RCE) в Microsoft SharePoint Server. Проблема заключается в недостаточной фильтрации входных данных при обработке определенных запросов к API.

Авторизованный злоумышленник, обладающий правами владельца сайта (Site Owner), может внедрить и выполнить произвольный код в контексте учетной записи службы SharePoint. Данная уязвимость часто используется в цепочке с CVE-2023-29357 (обход аутентификации), что позволяет неавторизованному пользователю получить полный контроль над сервером.

Как исправить

Основным способом устранения уязвимости является установка соответствующих обновлений безопасности (Security Updates), выпущенных Microsoft.

  1. Определите версию вашего SharePoint Server (2016, 2019 или Subscription Edition).
  2. Скачайте актуальный пакет обновлений с официального портала Microsoft Security Update Guide.
  3. Установите обновление на все серверы в ферме.
  4. После установки обновлений обязательно запустите мастер настройки SharePoint (Products Configuration Wizard) для завершения процесса обновления базы данных и компонентов.

Команда для запуска мастера настройки через консоль:

psconfig.exe -cmd setup -cmd upgrade -inplace b2b -wait -force

Временные меры

Если немедленная установка патчей невозможна, рекомендуется принять следующие меры для снижения риска:

  1. Применение принципа наименьших привилегий (PoLP): Проведите аудит пользователей с правами «Владелец сайта» (Site Owner) и сократите их количество до необходимого минимума.
  2. Использование Web Application Firewall (WAF): Настройте правила WAF для блокировки подозрительных POST-запросов к API-эндпоинтам SharePoint, которые могут использоваться для инъекции кода.
  3. Мониторинг логов: Настройте оповещения на необычную активность процессов, порождаемых w3wp.exe (например, запуск cmd.exe или powershell.exe).
  4. Изоляция: Ограничьте доступ к административным интерфейсам SharePoint из внешних сетей.

Проверка версии установленного билда SharePoint через PowerShell:

get-spfarm | select BuildVersion
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей