# CVE-2024-43468 - SQL Injection RCE no Microsoft Configuration Manager > [!critical] CVSS 9.8 - CISA KEV - Exploração Ativa > Injeção SQL sem autenticação no Microsoft Configuration Manager (SCCM/MECM) permite execução remota de código. Compromete o sistema de gerenciamento centralizado de endpoints corporativos — acesso a dezenas de milhares de máquinas em redes enterprise. ## Visão Geral A CVE-2024-43468 é uma vulnerabilidade crítica de SQL injection sem autenticação no Microsoft Configuration Manager (anteriormente SCCM — System Center Configuration Manager, agora MECM — Microsoft Endpoint Configuration Manager). A falha permite que um atacante não autenticado envie requisições HTTP especialmente criadas ao servidor de site do Configuration Manager, explorando queries SQL não parametrizadas para obter execução remota de código no servidor. O impacto desta vulnerabilidade é excepcionalmente grave no contexto corporativo: o SCCM/MECM é o sistema de gerenciamento centralizado de endpoints usado por grandes organizações para distribuir software, patches e políticas de configuração para dezenas de milhares de máquinas Windows. Um servidor SCCM comprometido efetivamente equivale a comprometer toda a frota de endpoints gerenciados — o atacante pode distribuir malware como "atualização legítima" para todos os dispositivos da organização. A Microsoft corrigiu a vulnerabilidade no Patch Tuesday de outubro de 2024, mas a inclusão no CISA KEV em outubro de 2024 confirmou que a exploração ativa ocorreu antes ou logo após a divulgação pública. O SCCM é frequentemente um alvo de alto valor em ataques de ransomware e espionagem, pois sua posição privilegiada na rede corporativa permite movimento lateral e execução remota massiva. ## Produtos Afetados | Produto | Versões Vulneráveis | Patch Necessário | |---------|---------------------|-----------------| | Microsoft Configuration Manager (SCCM/MECM) | Current Branch versões antes de outubro 2024 | KB29166583 | | Microsoft Configuration Manager | Long-Term Servicing Branch (LTSB) antes do patch | KB29166583 (backport) | | System Center 2012 Configuration Manager | Versões em suporte estendido | Verificar MS Security Update Guide | **Versões não afetadas:** Versões com o hotfix KB29166583 aplicado (incluído no Patch Tuesday de outubro 2024). ## Detalhes Técnicos A vulnerabilidade está no componente de comunicação HTTP do servidor de site do Configuration Manager. Endpoints da API ou interface de gerenciamento web aceitam input controlado pelo usuário que é incorporado diretamente em queries SQL ao banco de dados SQL Server sem parametrização adequada. **Impacto da exploração bem-sucedida:** 1. **RCE no servidor SCCM** via SQL Server `xp_cmdshell` ou técnicas similares de execução de comandos através do mecanismo de injeção SQL 2. **Movimento lateral massivo**: a partir do servidor SCCM, o atacante pode distribuir scripts ou software para todos os endpoints gerenciados 3. **Persistência privilegiada**: instalação de backdoors em toda a frota corporativa via mecanismo legítimo de distribuição de software 4. **Exfiltração de inventário**: acesso ao banco de dados SCCM que contém inventário detalhado de hardware e software de todos os dispositivos **Técnicas utilizadas em exploração ativa:** - [[t1190-exploit-public-facing-application|T1190]] - Exploit de aplicação exposta (servidor SCCM) - [[t1047-windows-management-instrumentation|T1047 - WMI]] - execução de comandos pós-comprometimento - [[t1059-001-powershell|T1059.001 - PowerShell]] - execução de scripts maliciosos - Movimentação lateral via recursos nativos do SCCM (deploy de scripts) ## Mitigação **Ação imediata:** - Aplicar o hotfix KB29166583 da Microsoft (Patch Tuesday outubro 2024) - Verificar se o Configuration Manager está exposto à internet — se sim, isolar imediatamente - Auditar logs do servidor SCCM por atividade suspeita (tentativas de SQL injection, execuções de comandos inesperadas) **Controles de hardening do SCCM:** - Restringir acesso ao servidor de site do SCCM por IP/segmento de rede ([[m1030-network-segmentation|M1030]]) - Implementar autenticação multifator para console de administração do SCCM ([[m1032-multi-factor-authentication|M1032]]) - Desabilitar `xp_cmdshell` no SQL Server do SCCM se não necessário - Aplicar [[m1026-privileged-account-management|gerenciamento de contas privilegiadas]] para contas de serviço do SCCM - Implementar monitoramento de integridade de aplicações distribuídas pelo SCCM **Detecção:** - Monitorar queries SQL anômalas no banco de dados do Configuration Manager - Alertar em execuções de comandos inesperadas no servidor SCCM (via EDR) - Usar Microsoft Sentinel ou Defender for Endpoint para detectar uso anômalo do SCCM para distribuição de software - Monitorar criação de novas tarefas de deploy não autorizadas no console SCCM **Pós-comprometimento:** - Se servidor SCCM comprometido: assumir que todos os endpoints gerenciados foram afetados - Realizar varredura completa de todos os endpoints para webshells ou backdoors instalados - Revogar certificados de cliente gerenciados e reemitir após confirmar limpeza ## Contexto LATAM > [!latam] Impacto no Brasil e América Latina > O Microsoft Configuration Manager (SCCM/MECM) é o padrão de fato para gerenciamento de endpoints em grandes organizações brasileiras nos setores público e privado. Órgãos do governo federal, bancos, mineradoras, montadoras e telecomúnicadoras brasileiras dependem do SCCM para gerenciar frotas de milhares a dezenas de milhares de endpoints Windows. Um servidor SCCM comprometido em uma grande organização brasileira equivale a comprometer toda a infraestrutura de endpoints Windows da empresa. Grupos de ransomware como **LockBit**, **ALPHV/BlackCat** e **Black Basta** têm explorado sistematicamente vulnerabilidades de gerenciamento de endpoints para maximizar impacto em organizações-alvo no Brasil. A superfície de ataque é crítica: organizações brasileiras devem verificar urgentemente se o patch KB29166583 foi aplicado. ## Referências - [NVD - CVE-2024-43468](https://nvd.nist.gov/vuln/detail/CVE-2024-43468) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Microsoft Security Update Guide - CVE-2024-43468](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43468) - [BleepingComputer - SCCM SQLi RCE](https://www.bleepingcomputer.com) ## Notas Relacionadas - [[_microsoft|Microsoft]] - vendor afetado - [[configuration-manager|Microsoft Configuration Manager]] - produto vulnerável - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - execução pós-comprometimento - [[t1047-windows-management-instrumentation|T1047 - WMI]] - execução via SCCM comprometido - [[m1030-network-segmentation|M1030 - Network Segmentation]] - [[m1032-multi-factor-authentication|M1032 - Multi-Factor Authentication]] - [[m1026-privileged-account-management|M1026 - Privileged Account Management]] - [[government|Setor - Governo]] - [[financial|Setor - Financeiro]] - [[technology|Setor - Tecnologia]]