Page 1 sur 1

ALERTE - Vulnérabilité MS SharePoint Server (29.05.19)

MessagePosté: 03 Juin 2019, 20:15
de pierre
ALERTE - Vulnérabilité dans Microsoft SharePoint Server

Version initiale de l'avis
29 mai 2019

Source(s)
Voir Documentation

Risque(s)
Exécution de code arbitraire à distance

Systèmes affectés
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Foundation 2010 Service Pack 2
Microsoft SharePoint Foundation 2013 Service Pack 1
Microsoft SharePoint Server 2010 Service Pack 2
Microsoft SharePoint Server 2013 Service Pack 1
Microsoft SharePoint Server 2019

Résumé
Depuis début mai 2019, des campagnes d'attaques ciblées exploitant la vulnérabilité CVE-2019-0604 sont rapportées publiquement.

Cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire à distance en exploitant une faille de dé-sérialisation dans les serveurs SharePoint par l'envoi d'une requête malveillante spécialement conçue. Cloudflare indique dans son analyse que la vulnérabilité est exploitable sans authentification [5], ce qui n'a pas été confirmé pas Microsoft.

Microsoft a publié un premier correctif à l'occasion de sa mise à jour mensuelle de février 2019 [1][2]. De nouveaux correctifs ont été publiés en mars et avril 2019 pour couvrir d'autres versions vulnérables de SharePoint et certains cas d'exploitations qui n'avaient pas été pris en charge.

Cette vulnérabilité a été découverte par le chercheur Markus Wulftange qui a publié ses travaux en mars 2019 [3].

Du code d'attaque exploitant cette vulnérabilité est disponible sur internet. Il n'est toutefois pas utilisable sans modification, ce qui explique que cette vulnérabilité n'est pas encore massivement exploitée.

Cependant, devant l'augmentation des cas d'exploitation, plusieurs entreprises de sécurité informatique, ainsi que certains CERT nationaux, ont communiqué sur le sujet (cf. section Documentation). Des règles de détection réseau et système [4] et des indicateurs de compromissions [5][6][7] ont été publiés. Ces derniers doivent être recherchés sur les serveurs SharePoint si les journaux de connexion indiquent des tentatives d'accès aux URLs vulnérables.

Si ce n'est pas encore fait, le CERT-FR recommande l'application des correctifs dans les plus brefs délais.

Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation
[1] Bulletin de sécurité Microsoft CVE-2019-0604 du 12 février 2019
https://portal.msrc.microsoft.com/en-US ... -2019-0604

[2] Avis CERT-FR CERTFR-2019-AVI-061
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-061/

[3] Billet de blogue ZDI du 13 mars 2019
https://www.zerodayinitiative.com/blog/ ... nerability

[4] Billet de blogue AlienVault du 10 mai 2019
https://www.alienvault.com/blogs/labs-r ... -the-wild/

[5] Billet Cloudflare du 28 mai 2019
https://blog.cloudflare.com/stopping-cve-2019-0604/

[6] Alerte Canadian Centre for Cyber Security du 23 avril 2019
https://cyber.gc.ca/en/alerts/china-cho ... nt-servers

[7] Alerte NCSC saoudien
https://www.ncsc.gov.sa/wps/portal/ncsc/home/Alerts/

Référence CVE CVE-2019-0604
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-0604



Historique des alertes et avis sur Microsoft SharePoint
Historique des alertes et avis sur Microsoft SharePoint
Historique des alertes et avis sur les produits Microsoft

Re: ALERTE - Vulnérabilité MS SharePoint Server (29.05.19)

MessagePosté: 23 Juil 2019, 20:20
de pierre
Clôture de l'alerte.