CVE-2024-43468 (CVSS 9.8): Microsoft Configuration Manager Exploit Revealed with PoC Code
2025/01/23 SecurityOnline — Microsoft Configuration Manager (MCM) に存在する深刻な脆弱性 CVE-2024-43468 (CVSS:9.8) に対して、PoC エクスプロイト・コードと技術的な詳細が、Synacktiv のセキュリティ研究者 Mehdi Elyassa から公開された。この SQL インジェクション脆弱性の悪用に成功した未認証の攻撃者は、サーバと基盤となるデータベース上において、任意のコマンド実行の可能性を手にする。
脆弱性 CVE-2024-43468 は、クライアントから Microsoft Configuration Manager に送信されたメッセージを処理する、MP_Location サービスに存在する。Synacktiv の分析によると、このサービスはデータベース・クエリにおいて、安全が確保されない入力を使用しているため、getMachineID と getContentID の SQL インジェクションの脆弱性につながるという。いずれの脆弱性も、その悪用の達成には認証を必要としないため、攻撃者にとってきわめて攻撃しやすいものとなっている。
Mehdi Elyassa は、「クライアントから送信されたメッセージを処理する MP_Location サービスは、データベース・クエリにおける入力を、安全が確保されない方法で使用している」と述べている。この不安定な処理を悪用する攻撃者は、sysadmin レベルの特権で任意の SQL クエリを実行できるようになり、xp_cmdshell プロシージャの起動によるリモート・コード実行の可能性を得る。
Synacktiv が Github 上で公開したのは、脆弱性 CVE-2024-43468 に対する PoC エクスプロイト・コードである。たとえば、unauth_sqli_LocationMgr.py スクリプトを使用すると、攻撃者は悪意の SQL クエリを注入することで、システム管理者アカウントを作成できる。
unauth_sqli_LocationMgr.py -t sccm.corp.local -sql "create login poc_sqli_machineid with password = 'p4sswOrd'; exec master.dbo.sp_addsrvrolemember 'poc_sqli_machineid', 'sysadmin'"
この脆弱性の悪用に成功した攻撃者は、Configuration Manager データベース (CM_<SITE_CODE>) にアクセスし、サーバ上でコマンドを実行できるようになる。その結果として、展開環境の完全な侵害/データの盗難/ネットワーク内での横移動などを引き起こせるという。
2024年10月の Patch Tuesday で Microsoft は、この脆弱性に対処している。Microsoft Configuration Manager のユーザー組織に推奨されるのは、悪用を防ぐために、これらのパッチを直ちに適用することである。
SQLインジェクションのペイロードは、ログファイルにはダイレクトに反映されないため、悪用の検出は難しいとされる。Synacktiv が推奨するのは、MP_Location.log ファイルを監視し、getMachineID 操作に関連する特定のエラー・メッセージなどの、異常の有無を確認することである。
脆弱性 CVE-2024-43468 が浮き彫りにするのは、特に MCM のような重要なインフラ・ツールにおける、安全が確保されないクライアント入力に対する、処理がもたらすリスクである。この脆弱性の悪用に成功した攻撃者は、最小限の労力で認証を回避し、高権限の操作を実行できるようになるため、標的とされる可能性が高いという。
Synacktiv は、「このような操作により、デプロイの乗っ取りと、基盤となるサーバ上での任意のコマンドの実行が可能になる」と結論づけている。
Microsoft Configuration Manager (MCM) に存在する深刻な脆弱性に対して、PoC が提供されました。2024年10月の Patch Tuesday で対処されていますので、パッチ適用を、ご確認ください。なお、前回の MCM 関連のトピックは、2024/10/08 の「Microsoft MMC の脆弱性 CVE-2024-43572:すでに積極的な悪用が始まっている」です。よろしければ、Microsoft Management Console で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.