Cette vulnérabilité dans SharePoint a été exploitée pour s’introduire dans le réseau des entreprises
Une faille de sécurité présente dans Microsoft SharePoint est exploitée par les cybercriminels pour compromettre le réseau des entreprises. Patchée depuis le mois de juillet 2024, cette vulnérabilité représente un vrai risque pour les sociétés utilisatrices de cette solution. Faisons le point.
Cette alerte de sécurité est liée à la CVE-2024-38094, une vulnérabilité importante, associée à un score CVSS de 7.2 sur 10, présente dans Microsoft SharePoint. Au-delà d'être accessible via Microsoft 365 et sa déclinaison SharePoint Online, la solution SharePoint est avant tout disponible pour les infrastructures locales et peut être déployée sur un serveur de l'entreprise. Cet outil de collaboration peut être utilisé pour mettre en place un Intranet, mais aussi pour faciliter l'organisation des documents.
Microsoft présente la vulnérabilité de la façon suivante : "Un attaquant authentifié disposant des autorisations de propriétaire de site peut utiliser cette vulnérabilité pour injecter du code arbitraire et exécuter ce code dans le contexte de SharePoint Server."
Cette faille de sécurité, ajoutée par l'agence CISA à son catalogue des vulnérabilités connues et exploitées, serait utilisée comme point d'entrée pour s'introduire dans le réseau des entreprises. Une compromission totale du domaine Active Directory a aussi été détecté, comme le mentionne un rapport publié par Rapid7 : "Notre enquête a permis de découvrir un attaquant qui a accédé à un serveur sans autorisation et s'est déplacé latéralement sur le réseau, compromettant ainsi l'ensemble du domaine."
Les chercheurs en sécurité de Rapid7 expliquent que des attaquants ont exploité cette vulnérabilité pour obtenir un accès non autorisé à un serveur SharePoint vulnérable à la CVE-2024-38094. L'exploitation de cette faille de sécurité a permis de déployer un webshell, donnant l'opportunité aux attaquants d'exécuter des commandes sur le serveur. Un code d'exploitation PoC, disponible publiquement, aurait été utilisé par les pirates.
Le schéma ci-dessous, présent dans le rapport de Rapid7, représente le déroulement de l'attaque, étape par étape. Il met clairement en évidence l'exploitation de la CVE dans SharePoint comme vecteur d'accès initial.
Les attaquants ont fait usage de différents outils tels que Mimikatz, Kerbrute, Certify.exe ou encore Horoung Antivirus afin de créer un conflit avec la solution de sécurité déjà en place et ainsi générer des perturbations.
Comment se protéger de la CVE-2024-38094 ?
À l'occasion du Patch Tuesday de Juillet 2024, Microsoft a divulgué la CVE-2024-38094 et un correctif a été publié pour SharePoint. Voici les versions affectées par cette vulnérabilité et le nom de la KB incluant le correctif :
- Microsoft SharePoint Server Subscription Edition : KB5002606
- Microsoft SharePoint Server 2019 : KB5002615
- Microsoft SharePoint Enterprise Server 2016 : KB5002618