✅ 보고서 제목:
Microsoft SharePoint 취약점에 대한 간략한 개요
✅ 보고서 요약:
• 2024년 7월 9일, Microsoft SharePoint 취약점인 CVE-2024-38023, CVE-2024-38024, CVE-2024-38094가 긴급하게 패치되었습니다.
• 2024년 7월 9일, CVSSv3.1:7.2 HIGH 취약점으로 발표되었고 패치가 진행됐으며, 알려진 악용 사례는 작성일(2024년 7월 12일) 기준으로 확인되지 않았으나 PoC 코드가 최근에 공개 됨에 따라 사용자들에게 위협 탐지를 권장합니다.
📌 취약점 발생 원인은 무엇인가요?
• 해당 취약점은 Microsoft SharePoint 서버 기능 중 Entity 클래스의 특정 메소드에서 부적절한 역직렬화 처리로 인해 발생하는 임의 코드 실행 취약점입니다.
• SharePoint 서버의 Site Owner 권한을 가진 사용자는 SharePoint 사이트에 위치한 /BusinessDataMetadataCatalog/BDCMetadata.bdcm 파일을 수정해 임의의 LobSystem 객체를 생성할 수 있습니다.
• 사용자는 특정 엔드포인트를 통해 LobSystem 객체를 참조하는 CSOM Action을 실행할 수 있으며, Action에 LobSystem 객체 참조를 통해 데이터를 파라미터로 전달할 수 있습니다.
• 파라미터 값에 대해 역직렬화를 수행하는 특정 메소드에 임의로 수정한 LobSystem 객체를 참조하여 역직렬화 취약점을 유발하는 파라미터 값을 전달하면 취약점을 통한 임의 코드 실행이 가능해집니다.
📌 취약점을 악용한 공격 시나리오는 무엇인가요?
• 공격자는 취약한 Microsoft SharePoint 서버의 Site Owner 권한을 가진 사용자 계정을 필요합니다.
• 공격자는 SharePoint 사이트에 BusinessDataMetadataCatalog 폴더를 생성하고, 해당 폴더에 BDCMetadata.bdcm 파일을 업로드하여 악성 페이로드가 삽입된 LobSystem 객체를 임의로 생성합니다.
• 공격자는 /_vti_bin/client.svc/ProcessQuery 엔드포인트에 악성 페이로드가 삽입된 LobSystem을 참조하는 CSOM Action을 실행하는 요청을 전달하면 역직렬화 취약점을 통해 임의 코드 실행이 가능합니다.
✅ 위협 탐지 권장 사항 및 조치 방안:
• 위협탐지 룰을 업데이트 하고 지속적인 모니터링 및 최신버전의 패치를 권장합니다.
• 패치가 불가능 할 경우 조치방안에 따라 조치할 것을 권장합니다.
• 보안 업데이트된 버전을 다운로드하여 설치를 진행합니다.
• Microsoft SharePoint Server Subscription Edition 16.0.17328.20424 이상
• Microsoft SharePoint Server 2019 16.0.10412.20001 이상
• Microsoft SharePoint Enterprise Server 2016 16.0.5456.1000 이상
• 구체적인 분석 및 조치 방안은 내용은 아래 링크를 통해 접수해 주세요.
🧑💻 보고서 작성자: S2W TALON
👉 보고서 전문 문의하기: https://s2w.inc/ko/contact