Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft SharePoint Enterprise Server 2016
- Microsoft SharePoint Foundation 2010 Service Pack 2
- Microsoft SharePoint Foundation 2013 Service Pack 1
- Microsoft SharePoint Server 2010 Service Pack 2
- Microsoft SharePoint Server 2013 Service Pack 1
- Microsoft SharePoint Server 2019
Résumé
Depuis début mai 2019, des campagnes d'attaques ciblées exploitant la vulnérabilité CVE-2019-0604 sont rapportées publiquement.
Cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire à distance en exploitant une faille de dé-sérialisation dans les serveurs SharePoint par l'envoi d'une requête malveillante spécialement conçue. Cloudflare indique dans son analyse que la vulnérabilité est exploitable sans authentification [5], ce qui n'a pas été confirmé pas Microsoft.
Microsoft a publié un premier correctif à l'occasion de sa mise à jour mensuelle de février 2019 [1][2]. De nouveaux correctifs ont été publiés en mars et avril 2019 pour couvrir d'autres versions vulnérables de SharePoint et certains cas d'exploitations qui n'avaient pas été pris en charge.
Cette vulnérabilité a été découverte par le chercheur Markus Wulftange qui a publié ses travaux en mars 2019 [3].
Du code d'attaque exploitant cette vulnérabilité est disponible sur internet. Il n'est toutefois pas utilisable sans modification, ce qui explique que cette vulnérabilité n'est pas encore massivement exploitée.
Cependant, devant l'augmentation des cas d'exploitation, plusieurs entreprises de sécurité informatique, ainsi que certains CERT nationaux, ont communiqué sur le sujet (cf. section Documentation). Des règles de détection réseau et système [4] et des indicateurs de compromissions [5][6][7] ont été publiés. Ces derniers doivent être recherchés sur les serveurs SharePoint si les journaux de connexion indiquent des tentatives d'accès aux URLs vulnérables.
Si ce n'est pas encore fait, le CERT-FR recommande l'application des correctifs dans les plus brefs délais.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- [1] Bulletin de sécurité Microsoft CVE-2019-0604 du 12 février 2019 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0604
- [2] Avis CERT-FR CERTFR-2019-AVI-061 https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-061/
- [3] Billet de blogue ZDI du 13 mars 2019 https://www.zerodayinitiative.com/blog/2019/3/13/cve-2019-0604-details-of-a-microsoft-sharepoint-rce-vulnerability
- [4] Billet de blogue AlienVault du 10 mai 2019 https://www.alienvault.com/blogs/labs-research/sharepoint-vulnerability-exploited-in-the-wild/
- [5] Billet Cloudflare du 28 mai 2019 https://blog.cloudflare.com/stopping-cve-2019-0604/
- [6] Alerte Canadian Centre for Cyber Security du 23 avril 2019 https://cyber.gc.ca/en/alerts/china-chopper-malware-affecting-sharepoint-servers
- [7] Alerte NCSC saoudien https://www.ncsc.gov.sa/wps/portal/ncsc/home/Alerts/
- Référence CVE CVE-2019-0604 https://www.cve.org/CVERecord?id=CVE-2019-0604
