# CVE-2019-0604 - RCE por Desserialização no Microsoft SharePoint > [!high] CVE-2019-0604 é uma vulnerabilidade de execução remota de código no Microsoft SharePoint, explorada ativamente por atores de espionagem para comprometer portais corporativos e governamentais, incluindo alvos no Oriente Médio e Ásia. ## Visão Geral CVE-2019-0604 é uma vulnerabilidade de execução remota de código no **Microsoft SharePoint** que decorre de válidação inadequada na desserialização de objetos em requisições de aplicação. Um atacante não autenticado pode enviar requisições HTTP especialmente elaboradas para obter execução de código no contexto da conta de serviço do SharePoint. A vulnerabilidade afeta múltiplas versões do SharePoint, incluindo versões empresariais amplamente utilizadas em organizações governamentais e corporativas. A facilidade de exploração — sem necessidade de autenticação — e o alto valor dos alvos tornaram esta CVE extremamente atraente para grupos APT, notadamente o [[unc215]], ator com nexo à China que comprometeu portais SharePoint de agências governamentais no Oriente Médio e Ásia em 2019-2020. No contexto brasileiro, ambientes SharePoint on-premises em órgãos públicos e empresas do setor financeiro representam superfície de ataque relevante, especialmente em versões legadas ainda em produção sem atualização. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Desserialização de objetos não confiáveis | | Autenticação | Não requerida | | Vetor de acesso | Rede (HTTP/HTTPS) | | Endpoint vulnerável | `/_layouts/15/Picker.aspx` e outros | | Resultado | RCE como serviço IIS AppPool | ## TTPs Relacionadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração de aplicação voltada para internet - [[t1505-003-web-shell|T1505.003]] - Implantação de web shell pós-exploração - [[t1059-powershell|T1059.001]] - Execução de PowerShell pós-exploit - [[t1078-valid-accounts|T1078]] - Uso de credenciais de serviço obtidas pós-exploit ## Detecção e Defesa **Mitigações recomendadas:** - Aplicar o patch KB4462171 (SharePoint 2019) e equivalentes para versões anteriores - Monitorar logs IIS em busca de requisições anômalas ao endpoint `/_layouts/` - Restringir acesso externo direto a portais SharePoint via firewall - Implementar Web Application Firewall (WAF) para inspeção de requisições **Mitigações MITRE:** - [[m1051-update-software|M1051]] - Manter patches aplicados - [[m1030-network-segmentation|M1030]] - Segmentação de rede para portais internos ## Referências - [Microsoft CVE-2019-0604](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2019-0604) - [CISA Alert AA20-099A](https://www.cisa.gov/news-events/alerts/2020/04/08/microsoft-sharepoint-remote-code-execution-vulnerability-CVE-2019-0604) - [Volexity — SharePoint Exploitation in the Wild](https://www.volexity.com/blog/2020/01/02/active-exploitation-of-CVE-2019-0604/)