{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft SharePoint Enterprise Server 2016","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft SharePoint Foundation 2013 Service Pack 1","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft SharePoint Server 2013 Service Pack 1","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft SharePoint Server 2010 Service Pack 2","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft SharePoint Foundation 2010 Service Pack 2","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft SharePoint Server 2019","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2019-07-23","content":"## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2019-0604","url":"https://www.cve.org/CVERecord?id=CVE-2019-0604"}],"links":[{"title":"[2] Avis CERT-FR CERTFR-2019-AVI-061","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-061/"},{"title":"[4] Billet de blogue AlienVault du 10 mai 2019","url":"https://www.alienvault.com/blogs/labs-research/sharepoint-vulnerability-exploited-in-the-wild/"},{"title":"[3] Billet de blogue ZDI du 13 mars 2019","url":"https://www.zerodayinitiative.com/blog/2019/3/13/cve-2019-0604-details-of-a-microsoft-sharepoint-rce-vulnerability"},{"title":"[6] Alerte Canadian Centre for Cyber Security du 23 avril 2019","url":"https://cyber.gc.ca/en/alerts/china-chopper-malware-affecting-sharepoint-servers"},{"title":"[7] Alerte NCSC saoudien","url":"https://www.ncsc.gov.sa/wps/portal/ncsc/home/Alerts/"},{"title":"[5] Billet Cloudflare du 28 mai 2019","url":"https://blog.cloudflare.com/stopping-cve-2019-0604/"}],"reference":"CERTFR-2019-ALE-008","revisions":[{"description":"Version initiale","revision_date":"2019-05-29T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte.","revision_date":"2019-07-23T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Depuis d\u00e9but mai 2019, des campagnes d'attaques cibl\u00e9es exploitant la\nvuln\u00e9rabilit\u00e9 CVE-2019-0604 sont rapport\u00e9es publiquement.\n\nCette vuln\u00e9rabilit\u00e9 permet \u00e0 un attaquant d'ex\u00e9cuter du code arbitraire\n\u00e0 distance en exploitant une faille de d\u00e9-s\u00e9rialisation dans les\nserveurs SharePoint par l'envoi d'une requ\u00eate malveillante sp\u00e9cialement\ncon\u00e7ue. Cloudflare indique dans son analyse que la vuln\u00e9rabilit\u00e9 est\nexploitable sans authentification \\[5\\], ce qui n'a pas \u00e9t\u00e9 confirm\u00e9 pas\nMicrosoft.\n\nMicrosoft a publi\u00e9 un premier correctif \u00e0 l'occasion de sa mise \u00e0 jour\nmensuelle de f\u00e9vrier 2019 \\[1\\]\\[2\\]. De nouveaux correctifs ont \u00e9t\u00e9\npubli\u00e9s en mars et avril 2019 pour couvrir d'autres versions vuln\u00e9rables\nde SharePoint et certains cas d'exploitations qui n'avaient pas \u00e9t\u00e9 pris\nen charge.\n\nCette vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte par le chercheur\u00a0Markus Wulftange\nqui a publi\u00e9 ses travaux en mars 2019 \\[3\\].\n\nDu code d'attaque exploitant cette vuln\u00e9rabilit\u00e9 est disponible sur\ninternet. Il n'est toutefois pas utilisable sans modification, ce qui\nexplique que cette vuln\u00e9rabilit\u00e9 n'est pas encore massivement exploit\u00e9e.\n\nCependant, devant l'augmentation des cas d'exploitation, plusieurs\nentreprises de s\u00e9curit\u00e9 informatique, ainsi que certains CERT nationaux,\nont communiqu\u00e9 sur le sujet (cf. section Documentation). Des r\u00e8gles de\nd\u00e9tection r\u00e9seau et syst\u00e8me \\[4\\] et des indicateurs de compromissions\n\\[5\\]\\[6\\]\\[7\\] ont \u00e9t\u00e9 publi\u00e9s. Ces derniers doivent \u00eatre recherch\u00e9s\nsur les serveurs SharePoint si les journaux de connexion indiquent des\ntentatives d'acc\u00e8s aux URLs vuln\u00e9rables.\n\nSi ce n'est pas encore fait, le CERT-FR recommande l'application des\ncorrectifs dans les plus brefs d\u00e9lais.\n","title":"Vuln\u00e9rabilit\u00e9 dans Microsoft SharePoint Server","vendor_advisories":[{"published_at":null,"title":"[1] Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2019-0604 du 12 f\u00e9vrier 2019","url":"https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0604"}]}