Lỗ hổng CVE-2024-43468, với điểm CVSS 9.8, đã được công bố cùng mã Proof-of-Concept (PoC) khai thác. Lỗ hổng này cho phép kẻ tấn công chưa xác thực lợi dụng SQL injection để thực thi các lệnh tùy ý trên server và cơ sở dữ liệu Microsoft Configuration Manager (MCM).
Lỗ hổng nằm trong dịch vụ MP_Location, chịu trách nhiệm xử lý thông điệp từ client. Dịch vụ này sử dụng input không an toàn trong truy vấn cơ sở dữ liệu, dẫn đến hai vector SQL injection là getMachineID và getContentID. Cả hai đều không yêu cầu xác thực, tạo điều kiện cho việc khai thác dễ dàng.
Thông qua PoC, Synacktiv đã chứng minh cách kẻ tấn công có thể tạo tài khoản sysadmin bằng cách chèn truy vấn SQL độc hại. Sau khi khai thác thành công, kẻ tấn công có thể kiểm soát cơ sở dữ liệu Configuration Manager, thực thi mã từ xa, đánh cắp dữ liệu và thậm chí mở rộng tấn công sang các hệ thống khác.
Microsoft đã khắc phục lỗ hổng này trong bản vá tháng 10 năm 2024. Tuy nhiên, việc phát hiện khai thác là một thách thức, do payload SQL injection không hiển thị trực tiếp trong log. Synacktiv khuyến cáo theo dõi file MP_Location.log để tìm dấu hiệu bất thường. Người dùng được khuyến nghị nên áp dụng các bản vá bảo mật kịp thời.
