美国网络安全和基础设施安全局 (CISA) 警告:微软配置管理器 SQL 注入漏洞已被攻击者利用

2026-02-15 19:11:51 4 1448

美国网络安全和基础设施安全局 (CISA) 发布紧急警报,指出 Microsoft Configuration Manager (SCCM) 中存在严重的 SQL 注入漏洞。该漏洞编号为 CVE-2024-43468,允许未经身份验证的攻击者在服务器和数据库上运行恶意命令。


美国网络安全和基础设施安全局 (CISA) 发布紧急警报,指出 Microsoft Configuration Manager (SCCM) 中存在严重的 SQL 注入漏洞。

该漏洞编号为 CVE-2024-43468,允许未经身份验证的攻击者在服务器和数据库上运行恶意命令。

该漏洞已于 2026 年 2 月 12 日被添加到 CISA 的已知利用漏洞 (KEV) 目录中,各机构必须在 2026 年 3 月 5 日之前进行修补,否则将面临联邦政府的强制措施。

Microsoft Configuration Manager 帮助 IT 团队管理设备、部署软件以及处理跨 Windows 网络的更新 。

该漏洞会影响其控制台服务,用户输入未经充分过滤可能导致 SQL 注入攻击 。攻击者会构造特殊的 HTTP 请求发送到 SCCM 服务器。

这些请求会诱使系统在后端 SQL Server 数据库上执行任意 SQL 查询。

由此,黑客可以泄露敏感数据、提升权限或运行操作系统命令 ,从而为勒索软件、数据窃取或整个网络入侵铺平道路。

虽然确切的 CVSS 评分尚未公开,但像这样的 SQL 注入漏洞(与 CWE-89 相关联)由于存在远程代码执行的可能性,通常评分为 8.0+。

微软在其 2024 年 11 月的 “补丁星期二”更新中发布了补丁程序。受影响的版本包括 SCCM 2303 及更早版本;请升级到 2311 或更高版本,并通过 KB5044285 或更新版本应用此修复程序。


立即采取的措施: 使用 Microsoft Defender 或 SQL Server Management Studio 等工具扫描环境,查找异常查询。

快速修补: 从 Microsoft 更新目录下载更新。先在测试环境中进行测试,以免中断控制台访问。

缓解措施: 使用防火墙阻止来自不受信任 IP 地址的入站流量访问 SCCM 端口(例如 80/443、1433)。在 IIS 中启用 SQL 注入保护,并使用权限最小的数据库帐户。

如果打补丁不可行,CISA 建议停止使用该产品。各组织应排查安全漏洞迹象,例如异常的 SQL 日志、身份验证失败或新的管理员帐户。

这起事件与 SCCM 的一系列问题一起,凸显了企业工具快速打补丁的必要性。请保持警惕,定期查看 CISA 的关键事件报告 (KEV) 列表和微软的安全公告。
类别 新闻资讯

关于作者

weak_hong46篇文章58篇回复

weak_hong
4

评论4次

要评论?请先  登录  或  注册
  • 4楼
    ChaseKing
    Rank: 1
    2026-2-25 07:07

    感觉微软的漏洞好多啊

  • 3楼
    Sex-twins
    Rank: 2
    2026-2-23 08:52

    "立即采取的措施: 使用 Microsoft Defender 或 SQL Server Management Studio 等工具扫描环境,查找异常查询。" Microsoft Defender 还能有这个功能吗?

  • 2楼
    beiank
    Rank: 2
    2026-2-20 18:46

    微软昨天发布说 CVE-2026-26119 已经修复 发布更新补丁了 和 这个漏洞危害都差不多,一样严重啊。

  • 1楼
    T00lsAI T00ls官方AI机器人
    Rank: 3Rank: 3
    2026-2-15 19:12

    结论: SCCM SQL注入漏洞(CVE-2024-43468)暴露了未认证攻击者可直接通过HTTP请求触发远程SQL执行(RCE),攻击面直接关联SCCM控制台服务接口。攻击者可通过构造恶意输入覆盖输入过滤逻辑(Source),最终在SQL Server中执行任意命令(Sink)。需优先验证服务暴露面与版本,并强制执行补丁升级。

    分析路径(T00ls方法论)

    L1 攻击面识别

    • 服务暴露面:确认SCCM控制台服务是否暴露在公网或内部非可信网络中,重点关注端口80/443(HTTP/S接口)与SQL Server的1433端口。
    • 版本确认:通过smscntl.msc或SCCM管理控制台检查版本是否为2303及更早版本。
    • 输入源点:SCCM的Web服务接口(如/sms_xxx路径)可能是攻击入口,需重点检查HTTP请求参数是否可被篡改(如ClientIPResourceID等参数)。

    L2 假设与验证

    • 输入验证缺陷:假设攻击者可通过构造特殊HTTP请求参数,绕过SCCM对用户输入的过滤(如SQL语法的关键字或注释符)。
    • PoC验证路径:尝试向SCCM控制台服务发送包含UNION SELECT--的请求,观察是否触发SQL语法错误或异常响应(需结合日志分析)。
    • Sink点关联:若SQL Server执行了恶意查询,需检查master..xp_cmdshell等扩展存储过程是否存在滥用可能(若未打补丁且权限未限制)。

    L3 边界/异常场景

    • 越界输入测试:向参数注入超长字符串(如A×10000)触发缓冲区溢出或注入漏洞。
    • 绕过过滤逻辑:尝试利用多字节字符(如UTF-8编码)、编码绕过(如%00截断)或注释符(/* */)组合构造注入语句。
    • 权限提升场景:若攻击者已执行SQL查询,可尝试通过sysadmin权限获取数据库凭据,进而横向移动到域控制器。

    L4 防御反推与修复

    • 防御机制有效性:检查现有WAF规则是否覆盖SQL注入特征(如UNION SELECTEXEC等),或SQL Server的xp_dirtree/xp_cmdshell是否被禁用。
    • 最小权限原则验证:确认SCCM数据库账号是否仅拥有必要权限(如不能执行存储过程或创建临时表)。
    • 回滚与隔离:若存在未打补丁的SCCM实例,需隔离其网络访问权限,禁止外部流量直接访问SCCM端口。

    验证步骤

    1. 服务暴露扫描 

      nmap -p 80,443,1433 -Pn <SCCM_SERVER_IP> --script http-methods,sqlscan

      确认端口开放状态及是否存在SQL Server弱口令。

    2. 验证版本漏洞 通过SCCM控制台界面或运行以下命令检查版本号: 

      Get-WmiObject -Class SMS_ServerComponentStatus -Namespace root\sms\site_<SITECODE> | select Name,Version

    3. 异常流量检测 分析SCCM IIS日志,搜索异常HTTP请求(如包含UNIONSELECT等关键词的UserAgent或参数): 

      grep -i "union\|select" /inetpub/logfiles/* | grep -E "200|500"

    4. SQL日志检查 在SQL Server错误日志中搜索未授权的存储过程调用或异常查询: 

      EXEC sp_readerrorlog 0, 1, 'xp_cmdshell'

    修复建议

    1. 优先修补

      • 强制升级SCCM到2311及以上版本,通过Microsoft Update Catalog下载KB5044285补丁(需先备份配置)。
      • 更新后验证服务是否正常,避免因权限调整导致控制台崩溃。

    2. 临时缓解

      • 在前端负载均衡器或防火墙中配置黑名单,阻断未授权IP的HTTP请求(仅放行内部管理IP)。
      • 在SQL Server启用强制参数化查询,并限制SCCM数据库账号权限(禁用sysadmin角色)。

    3. 防御加固

      • 在IIS中启用URL Rewrite模块,过滤包含注入特征的请求(如匹配'|\|\-\-等字符)。
      • 部署SQL注入防护WAF规则(如ModSecurity的OWASP CRS规则集)。

    4. 监控与溯源

      • 配置SIEMxi统实时告警,监控SCCM日志中异常的sp_executesql调用或SQL Server的ERRORLOG异常。
      • 若已受攻击,通过NetFlow分析横向移动流量,检查xp_cmdshell执行的命令历史。

    关键点:此漏洞的输入源(HTTP参数)与危险函数(SQL查询构造)直接关联,需优先从网络层阻断未授权访问,并通过代码修复彻底消除漏洞。未在期限前修补的xi统将成为高价值攻击目标。