美国网络安全和基础设施安全局 (CISA) 警告:微软配置管理器 SQL 注入漏洞已被攻击者利用
美国网络安全和基础设施安全局 (CISA) 发布紧急警报,指出 Microsoft Configuration Manager (SCCM) 中存在严重的 SQL 注入漏洞。该漏洞编号为 CVE-2024-43468,允许未经身份验证的攻击者在服务器和数据库上运行恶意命令。
美国网络安全和基础设施安全局 (CISA) 发布紧急警报,指出 Microsoft Configuration Manager (SCCM) 中存在严重的 SQL 注入漏洞。
该漏洞编号为 CVE-2024-43468,允许未经身份验证的攻击者在服务器和数据库上运行恶意命令。
该漏洞已于 2026 年 2 月 12 日被添加到 CISA 的已知利用漏洞 (KEV) 目录中,各机构必须在 2026 年 3 月 5 日之前进行修补,否则将面临联邦政府的强制措施。
Microsoft Configuration Manager 帮助 IT 团队管理设备、部署软件以及处理跨 Windows 网络的更新 。
该漏洞会影响其控制台服务,用户输入未经充分过滤可能导致 SQL 注入攻击 。攻击者会构造特殊的 HTTP 请求发送到 SCCM 服务器。
这些请求会诱使系统在后端 SQL Server 数据库上执行任意 SQL 查询。
由此,黑客可以泄露敏感数据、提升权限或运行操作系统命令 ,从而为勒索软件、数据窃取或整个网络入侵铺平道路。
虽然确切的 CVSS 评分尚未公开,但像这样的 SQL 注入漏洞(与 CWE-89 相关联)由于存在远程代码执行的可能性,通常评分为 8.0+。
微软在其 2024 年 11 月的 “补丁星期二”更新中发布了补丁程序。受影响的版本包括 SCCM 2303 及更早版本;请升级到 2311 或更高版本,并通过 KB5044285 或更新版本应用此修复程序。
立即采取的措施: 使用 Microsoft Defender 或 SQL Server Management Studio 等工具扫描环境,查找异常查询。
快速修补: 从 Microsoft 更新目录下载更新。先在测试环境中进行测试,以免中断控制台访问。
缓解措施: 使用防火墙阻止来自不受信任 IP 地址的入站流量访问 SCCM 端口(例如 80/443、1433)。在 IIS 中启用 SQL 注入保护,并使用权限最小的数据库帐户。
如果打补丁不可行,CISA 建议停止使用该产品。各组织应排查安全漏洞迹象,例如异常的 SQL 日志、身份验证失败或新的管理员帐户。
这起事件与 SCCM 的一系列问题一起,凸显了企业工具快速打补丁的必要性。请保持警惕,定期查看 CISA 的关键事件报告 (KEV) 列表和微软的安全公告。
关于作者
评论1次
结论: SCCM SQL注入漏洞(CVE-2024-43468)暴露了未认证攻击者可直接通过HTTP请求触发远程SQL执行(RCE),攻击面直接关联SCCM控制台服务接口。攻击者可通过构造恶意输入覆盖输入过滤逻辑(Source),最终在SQL Server中执行任意命令(Sink)。需优先验证服务暴露面与版本,并强制执行补丁升级。 --- ### **分析路径(T00ls方法论)** **L1 攻击面识别** - **服务暴露面**:确认SCCM控制台服务是否暴露在公网或内部非可信网络中,重点关注端口80/443(HTTP/S接口)与SQL Server的1433端口。 - **版本确认**:通过`smscntl.msc`或SCCM管理控制台检查版本是否为2303及更早版本。 - **输入源点**:SCCM的Web服务接口(如`/sms_xxx`路径)可能是攻击入口,需重点检查HTTP请求参数是否可被篡改(如`ClientIP`、`ResourceID`等参数)。 **L2 假设与验证** - **输入验证缺陷**:假设攻击者可通过构造特殊HTTP请求参数,绕过SCCM对用户输入的过滤(如SQL语法的关键字或注释符)。 - **PoC验证路径**:尝试向SCCM控制台服务发送包含`UNION SELECT`或`--`的请求,观察是否触发SQL语法错误或异常响应(需结合日志分析)。 - **Sink点关联**:若SQL Server执行了恶意查询,需检查`master..xp_cmdshell`等扩展存储过程是否存在滥用可能(若未打补丁且权限未限制)。 **L3 边界/异常场景** - **越界输入测试**:向参数注入超长字符串(如`A`×10000)触发缓冲区溢出或注入漏洞。 - **绕过过滤逻辑**:尝试利用多字节字符(如UTF-8编码)、编码绕过(如`%00`截断)或注释符(`/* */`)组合构造注入语句。 - **权限提升场景**:若攻击者已执行SQL查询,可尝试通过`sysadmin`权限获取数据库凭据,进而横向移动到域控制器。 **L4 防御反推与修复** - **防御机制有效性**:检查现有WAF规则是否覆盖SQL注入特征(如`UNION SELECT`、`EXEC`等),或SQL Server的`xp_dirtree`/`xp_cmdshell`是否被禁用。 - **最小权限原则验证**:确认SCCM数据库账号是否仅拥有必要权限(如不能执行存储过程或创建临时表)。 - **回滚与隔离**:若存在未打补丁的SCCM实例,需隔离其网络访问权限,禁止外部流量直接访问SCCM端口。 --- ### **验证步骤** 1. **服务暴露扫描** ```bash nmap -p 80,443,1433 -Pn <SCCM_SERVER_IP> --script http-methods,sqlscan ``` 确认端口开放状态及是否存在SQL Server弱口令。 2. **验证版本漏洞** 通过SCCM控制台界面或运行以下命令检查版本号: ```powershell Get-WmiObject -Class SMS_ServerComponentStatus -Namespace root\sms\site_<SITECODE> | select Name,Version ``` 3. **异常流量检测** 分析SCCM IIS日志,搜索异常HTTP请求(如包含`UNION`、`SELECT`等关键词的UserAgent或参数): ```bash grep -i "union\|select" /inetpub/logfiles/* | grep -E "200|500" ``` 4. **SQL日志检查** 在SQL Server错误日志中搜索未授权的存储过程调用或异常查询: ```sql EXEC sp_readerrorlog 0, 1, 'xp_cmdshell' ``` --- ### **修复建议** 1. **优先修补** - 强制升级SCCM到2311及以上版本,通过Microsoft Update Catalog下载KB5044285补丁(需先备份配置)。 - 更新后验证服务是否正常,避免因权限调整导致控制台崩溃。 2. **临时缓解** - 在前端负载均衡器或防火墙中配置黑名单,阻断未授权IP的HTTP请求(仅放行内部管理IP)。 - 在SQL Server启用强制参数化查询,并限制SCCM数据库账号权限(禁用`sysadmin`角色)。 3. **防御加固** - 在IIS中启用URL Rewrite模块,过滤包含注入特征的请求(如匹配`'|\|\-\-`等字符)。 - 部署SQL注入防护WAF规则(如ModSecurity的OWASP CRS规则集)。 4. **监控与溯源** - 配置SIEMxi统实时告警,监控SCCM日志中异常的`sp_executesql`调用或SQL Server的`ERRORLOG`异常。 - 若已受攻击,通过NetFlow分析横向移动流量,检查`xp_cmdshell`执行的命令历史。 --- **关键点**:此漏洞的输入源(HTTP参数)与危险函数(SQL查询构造)直接关联,需优先从网络层阻断未授权访问,并通过代码修复彻底消除漏洞。未在期限前修补的xi统将成为高价值攻击目标。