✅ レポートタイトル：Microsoft SharePointの脆弱性の概要

✅ レポートの要約：

• 2024年7月9日、Microsoft SharePointの脆弱性である「CVE-2024-38023」、「CVE-2024-38024」、「CVE-2024-38094」が緊急でパッチされました。
• 2024年7月9日、脆弱性「CVSSv3.1:7.2 HIGH」と発表され、パッチが適用されました。既知の悪用事例は作成日（2024年7月12日）に基づいて確認されていませんが、PoCコードが最近公開されたため、ユーザーに脅威の検出を推奨します。

📌 脆弱性の原因

• 当該脆弱性は、Microsoft SharePointサーバーの機能中にEntityクラスの特定のメソッドで不適切なデシリアライズ処理が原因で発生する任意のコード実行の脆弱性です。
• SharePointサーバーのSite Owner権限を持つユーザーは、SharePointサイトにある「BusinessDataMetadataCatalog / BDCMetadata.bdcm」ファイルを変更して任意のLobSystemオブジェクトを作成できます。
• ユーザーは、特定のエンドポイントを介してLobSystemオブジェクトを参照するCSOM Actionを実行でき、LobSystemオブジェクト参照を介してActionにデータをパラメータとして渡すことができます。
• パラメータ値に対して逆シリアル化を実行する特定のメソッドにランダムに変更されたLobSystemオブジェクトを参照して、逆シリアル化の脆弱性を引き起こすパラメータ値を渡すことで、脆弱性を介した任意のコードの実行が可能になります。

📌 脆弱性を悪用した攻撃シナリオ

• 攻撃者は、脆弱なMicrosoft SharePointサーバーのSite Owner権限を持つユーザーアカウントを必要とします。
• 攻撃者はSharePointサイトに「BusinessDataMetadataCatalog」フォルダを作成し、そのフォルダに「BDCMetadata.bdcm」ファイルをアップロードして、悪意のあるペイロードが挿入されたLobSystemオブジェクトをランダムに生成します。
• 攻撃者は「/_vti_bin/client.svc/ProcessQuery」エンドポイントに悪意のあるペイロードが挿入されたLobSystemを参照するCSOM Actionを実行リクエストとして送信し、逆シリアル化の脆弱性を介して任意のコードを実行する可能性があります。

✅脅威検出の推奨事項と対策：

• 脅威検出ルールを更新し、継続的なモニタリングと最新バージョンのパッチをお勧めします。
• パッチが不可能な場合は、対策の手順に従って対処することをお勧めします。
• セキュリティがアップデートされたバージョンをダウンロードしてインストールを続行します。

• Microsoft SharePoint Server Subscription Edition 16.0.17328.20424以降
• Microsoft SharePoint Server 2019 16.0.10412.20001 以降
• Microsoft SharePoint Enterprise Server 2016 16.0.5456.1000 以降

具体的な分析、対策に関しては下記リンクにてお問い合わせください。

🧑‍ レポート作成者: S2W「TALON」

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォーム「QUAXAR（クェーサー）」で全文が提供されています。詳細に関してはお問い合わせください。