f:id:micro_keyword:20201018184020j:plain:w400

英国のNCSC(National Cyber Security Center)より、現地時間の2020年10月16日、Microsoft SharePointの脆弱性(CVE-2020-16952)に関する注意喚起が発行されました。

www.ncsc.gov.uk

その後、US-CERTからも同様にして、注意喚起が発行されています。

なお、マイクロソフトはすでにパッチを公開しており、先日の10月の更新プログラムにも含まれていることが確認できます。

https://www.jpcert.or.jp/at/2020/at200038.html

https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-16952

NCSCおよびUS-CERTが注意喚起を発行した背景など、筆者なりの考察を含め、まとめてみます。

脆弱性の概要
- ユーザが提供したデータ検証不備によるSSI（Server Side Includes）インジェクションの脆弱性
  - SSIはHTML内にWebサーバで実行するコマンドを埋め込んでおき、サーバで実行した結果を返す機能
  - SSI機能が有効で、攻撃者がHTMLに任意のコマンドを埋め込める場合、Webサーバで任意のコードが実行される可能性がある。
  - 今回の場合、ユーザが特別に細工したSharePointアプリケーションパッケージを、影響を受けるバージョンのSharePointにアップロードするときに悪用される可能性がある。
- 脆弱性の悪用により、攻撃者は任意のコードが実行可能
- ローカルの管理者権限で、SharePoint Serverがインストールされた環境に影響を与えられる
- 脆弱性の悪用には認証が必要
- さらに、ページ作成権限が必要(デフォルトのSharePoint権限)

詳細については、発見者による記事およびRapid7の公開している分析記事が参考になりますので、併せてご確認ください。

srcincite.io

attackerkb.com

また、脆弱性の発見者により、脆弱性の実証コード(PoC)が公開されています。

https://srcincite.io/pocs/cve-2020-16952.py.txt

PoCの公開により、実行が容易になったと考えると、早急なパッチ適用が求められます。

そして、このことが、今回注意喚起が発行された理由の一つとして考えられます。

なお、上記のPoC公開と合わせ、報告者の記事では、PoCを使った攻撃の検出方法が紹介されているので併せてご確認ください

文字列runat = "server"を含むHTTPヘッダーを識別し、SharePointページの作成を監視すること

影響を受けるバージョン

今回の脆弱性について、影響を受けるバージョンは以下にて示されています。

影響を受けるバージョン
- Microsoft SharePoint Foundation 2013 Service Pack 1
- Microsoft SharePoint Enterprise Server 2016
- Microsoft SharePoint Server 2019

また、Rapid7のリサーチャーによると、10月5日時点で、443/tcpで約15,000のSharePointサービスが見つかり、公開されているインスタンスのほとんどがSharePoint2010および2013だとのことでした。

On Tuesday Microsoft provided patches for CVE-2020-16952 for SharePoint 2013, 2016, and 2019. We took a look at our October 5th data & found about 15,000 SharePoint services on 443/tcp.

It looks like most of the public facing instances are running SharePoint 2010 and 2013. pic.twitter.com/F7yiJ6hnio
— Tom Sellers (@TomSellers) 2020年10月15日