O pesquisador de segurança Mehdi Elyassa, revelou detalhes técnicos e publicou um código de prova de conceito (PoC) para explorar uma vulnerabilidade crítica 27no Microsoft Configuration Manager (MCM). A falha, identificada como CVE-2024-43468, possui um escore CVSS de 9.8, permitindo que atacantes não autenticados explorem vulnerabilidades de SQL injection para executar comandos arbitrários em servidores e seus bancos de dados.

A vulnerabilidade está localizada no serviço MP_Location, que processa mensagens enviadas por clientes ao Microsoft Configuration Manager. De acordo com a análise, esse serviço utiliza entradas de forma insegura para consultas ao banco de dados, criando dois vetores distintos de SQL injection: getMachineID e getContentID. Nenhum deles requer autenticação, o que torna a exploração amplamente acessível para invasores. O serviço processa mensagens de clientes de forma insegura, permitindo que atacantes executem consultas SQL arbitrárias com privilégios de nível sysadmin. Isso possibilita, por exemplo, ativar o procedimento xp_cmdshell, viabilizando a execução remota de código e comprometendo totalmente o servidor.

A Microsoft corrigiu essa vulnerabilidade no Patch Tuesday de outubro de 2024, e é essencial que as organizações que utilizam o Microsoft Configuration Manager apliquem essas atualizações imediatamente para evitar ataques. A detecção da exploração bem-sucedida é desafiadora, já que os payloads de SQL injection não são diretamente refletidos nos arquivos de log. No entanto, a Synacktiv sugere monitorar o arquivo MP_Location.log em busca de anomalias, como mensagens de erro específicas relacionadas à operação getMachineID.