พบช่องโหว่บน Microsoft Configuration Manager ที่ช่วยให้สามารถ Run Code จากระยะไกลได้
ช่องโหว่นี้ส่งผลต่อ ConfigMgr เวอร์ชัน 2403, 2309, 2303 และ KB29166583 โดยทางด้านนักวิจัย Microsoft Configuration Manager RCE ได้ตรวจสอบ SynACKTIV และช่องโหว่ PoC นี้แล้ว สรุปวิธีการโจมตีได้สองวิธี ที่ผู้ไม่ประสงค์ดีสามารถโจมตีโดยการสร้างบัญชี sysadmin ใหม่ หรือดำเนินการคำสั่งบนเซิร์ฟเวอร์ได้
- MachineID Injection: ผู้ไม่ประสงค์ดีสามารถแทรกคำสั่ง SQL ที่เป็นอันตรายลงในฟิลด์ SourceID ของ XML ที่กำหนดเป้าหมายไปที่ฟังก์ชัน getMachineID ที่มีช่องโหว่
- ContentID Injection: ผู้ไม่ประสงค์ดีใช้ประโยชน์จากฟังก์ชัน getContentID โดยให้ MachineID ที่ได้รับจากฐานข้อมูล
คำแนะนำ
- ควรตรวจสอบอินพุต SQL ทั้งหมด และใช้การส่งค่าแบบพารามิเตอร์เพื่อป้องกันการโจมตีด้วยการแทรกข้อมูล
- ควรตรวจสอบให้แน่ใจว่าซอฟต์แวร์ทั้งหมดได้รับการอัพเดตเป็นเวอร์ชั่นล่าสุดแล้ว
- ควรจำกัดการเข้าถึง การจัดการเครือข่าย ควรใช้เฉพาะเครือข่ายที่เชื่อถือได้เท่านั้น