漏洞名称
:
Microsoft SharePoint Server 远程代码执行漏洞
组件名称
: Microsoft SharePoint
威胁等级
:
高
危
影响范围
:
Microsoft Business Productivity Servers 2010 Service Pack 2
Microsoft SharePoint Foundation 2013 Service Pack 1
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
漏洞类型
:
远程代码执行
利用条件
: 1、用户认证:需要用户认证
2、触发方式:远程
造成后果
: SharePoint未能正确处理用户传入的文件数据,在解析时存在反序列化漏洞,在获得认证权限的情况下攻击者可利用该漏洞,构造恶意数据执行反序列化攻击执行任意命令从而获取服务器最高权限。
SharePoint是由微软开发的Office 365中的协作平台,是当前最流行的CMS框架之一,企业能够基于SharePoint开发出智能的门户站点,这个站点能够无缝连接到用户、团队和知识。因此人们能够更有效地利用业务流程中的相关信息开展工作。使用SharePoint可以在不接触代码的情况下, 快速为个人、信息和公司创建门户页面。这些页面可以通过公司和管理工具来扩展 Windows SharePoint Services站点的功能,并且使得团队能够在他们的站点中向整个企业发布信息。
2021年3月10日,深信服千里目安全实验室监测到微软官方发布了一则漏洞安全通告,通告披露了Microsoft SharePoint组件存在任意命令执行漏洞,漏洞编号:CVE-2021-27076,漏洞危害:高危。由于SharePoint未能正确处理用户传入的文件数据,在解析时存在反序列化漏洞,因此在获得认证权限的情况下攻击者可利用该漏洞,构造恶意数据执行反序列化攻击执行任意命令从而获取服务器最高权限。
搭建Microsoft SharePoint组件2019版本环境,复现该漏洞,效果如下:
SharePoint Server是由微软公司开发的一个适用于企业的门户站点服务器,能够无缝连接到用户,团队和知识。让每个项目工作组、部门和科室可实现团队协作,适用于内网作业,在全球范围内对互联网开放
SharePoint
sever的资产数量有6万台,其中归属中国地区的受影响资产数量为两千以上。
目前受影响的Microsoft SharePoint版本:
Microsoft Business Productivity Servers 2010 Service Pack 2
Microsoft SharePoint Foundation 2013 Service Pack 1
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
注: 由于SharePoint组件的特殊性, 使得在安装补丁包后组件版本号不一定会及时更新, 且不同位置显示的版本号可能不同, 因此请以 [Windows 更新与安全] 检查补丁包更新为主, 以下通过版本查阅方法仅供修复参考。
1. 访问SharePoint服务器的 SharePoint Management Shell;
1. 在打开的窗口中执行命令 < Get-SPFarm|Select BuildVersion >;
1. 以下版本号为安装2月更新后的组件版本, 如果版本号小于或等于下表, 则表明组件可能会受到漏洞影响。
当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。链接如下:
https://msrc.microsoft.com/update-guide/en-us/vulnerability/CVE-2021-26076
【
深信服下一代防火墙
】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。
【
深信服云盾
】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。
【
深信服安全感知平台
】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。
【
深信服安全运营服务
】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初,云端安全专家即对客户的网络环境进行漏洞扫描,保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。
