CVE-2024-43468

Microsoft Configuration Manager

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2026-02-12

Официальное описание

Microsoft Configuration Manager contains an SQL injection vulnerability. An unauthenticated attacker could exploit this vulnerability by sending specially crafted requests to the target environment which are processed in an unsafe manner enabling the attacker to execute commands on the server and/or underlying database.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-43468 — это критическая уязвимость (CVSS 9.8) внедрения SQL-кода (SQL Injection) в Microsoft Configuration Manager (MECM / SCCM). Уязвимость позволяет неаутентифицированному злоумышленнику отправить специально сформированные сетевые запросы, которые некорректно обрабатываются компонентами системы. Успешная эксплуатация приводит к выполнению произвольных команд (RCE) на сервере сайта Configuration Manager и/или на сервере базы данных SQL. Учитывая, что SCCM обладает высокими привилегиями и управляет конечными точками в сети, компрометация этого сервера может привести к полному захвату всей IT-инфраструктуры организации.

Как исправить

Единственным надежным способом устранения данной уязвимости является установка официального обновления безопасности от Microsoft.

  • Определите текущую версию и сборку вашего сервера Microsoft Configuration Manager.
  • Выполните полное резервное копирование базы данных SQL (Site Database) и самого сервера сайта (Site Server) перед проведением работ.
  • Откройте консоль Configuration Manager.
  • Перейдите в раздел "Administration" -> "Updates and Servicing".
  • Найдите и установите актуальное обновление безопасности (Security Update), выпущенное для вашей версии (например, обновление за октябрь 2024 года или более позднее).
  • Дождитесь завершения установки и проверьте логи CMUpdate.log и hman.log на наличие ошибок.
  • Для быстрой проверки текущей версии SCCM на сервере используйте следующую команду:
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\SMS\Setup" -Name "Version" | Select-Object Version

Временные меры

Официальных обходных путей (workarounds), полностью закрывающих уязвимость без установки патча, Microsoft не предоставляет. До момента установки обновления необходимо применить компенсирующие меры защиты (Defense-in-Depth):

  • Максимально ограничьте сетевой доступ к серверу базы данных SQL (порт 1433). Подключения должны быть разрешены исключительно от авторизованных серверов сайта SCCM.
  • Запретите доступ к веб-компонентам SCCM (порты 80 и 443) из недоверенных сетей, гостевых VLAN и VPN-сегментов без строгой необходимости.
  • Убедитесь, что сервер SCCM не выставлен напрямую в интернет (для внешних клиентов должен использоваться исключительно Cloud Management Gateway).
  • Настройте правила на ваших системах IDS/IPS и WAF для инспекции трафика, идущего к серверам SCCM, на предмет типичных паттернов SQL-инъекций.
  • Настройте SIEM/EDR на строгий мониторинг процессов sqlservr.exe и smsexec.exe. Любой запуск дочерних процессов (таких как cmd.exe, powershell.exe или certutil.exe) от их имени должен генерировать критический инцидент безопасности.
  • Для аудита текущих установленных соединений с вашим SQL-сервером (чтобы выявить потенциально нелегитимные подключения) используйте команду:
Get-NetTCPConnection -LocalPort 1433 | Where-Object State -eq "Established" | Select-Object LocalAddress, RemoteAddress, OwningProcess
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей