CVE-2024-38094

Microsoft SharePoint

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-10-22

Официальное описание

Microsoft SharePoint contains a deserialization vulnerability that allows for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-38094 представляет собой критическую уязвимость типа «небезопасная десериализация» (Insecure Deserialization) в Microsoft SharePoint Server. Проблема возникает из-за того, что приложение некорректно обрабатывает входные данные при десериализации объектов, что позволяет злоумышленнику, имеющему права доступа уровня «Site Owner» (или выше), внедрить вредоносный код.

Успешная эксплуатация позволяет удаленному аутентифицированному злоумышленнику выполнить произвольный код (RCE) в контексте учетной записи службы SharePoint. Это может привести к полному захвату сервера, краже конфиденциальных данных и дальнейшему продвижению по корпоративной сети.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft, выпущенных в июле 2024 года.

  1. Определите версию вашего SharePoint Server (2016, 2019 или Subscription Edition).
  2. Скачайте соответствующий пакет обновления (KB) с портала Microsoft Security Update Guide.
  3. Установите обновление на все серверы в ферме.
  4. После установки обновлений обязательно запустите мастер настройки SharePoint (SharePoint Products Configuration Wizard) или выполните обновление через PowerShell для завершения процесса патчинга базы данных.

Выполнение завершающего этапа через PowerShell:

PSConfig.exe -cmd upgrade -inplace b2b -force -installcheck -wait

Для проверки версии установленного ПО и подтверждения патча используйте:

get-spproduct | fl

Временные меры

Если немедленная установка патчей невозможна, рекомендуется принять следующие меры для снижения риска:

  1. Ограничение привилегий: Проведите аудит пользователей с правами «Site Owner» и «Site Designer». Максимально сократите их количество, следуя принципу наименьших привилегий (PoLP), так как уязвимость требует авторизации.
  2. Мониторинг процессов: Настройте системы мониторинга (EDR/SIEM) на обнаружение аномальных дочерних процессов, запускаемых службой w3wp.exe (IIS), таких как cmd.exe, powershell.exe или csc.exe.
  3. Сегментация сети: Изолируйте серверы SharePoint от критически важных сегментов сети и ограничьте исходящий трафик с серверов SharePoint в интернет, чтобы предотвратить загрузку полезной нагрузки или обратную связь с C2-сервером.
  4. Проверка логов: Анализируйте логи ULS (Unified Logging Service) на предмет ошибок десериализации и подозрительных стеков вызовов.
  5. Использование WAF: Настройте Web Application Firewall для фильтрации подозрительных POST-запросов, содержащих сериализованные объекты в параметрах, специфичных для SharePoint.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей