CVE-2024-43468 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Microsoft Configuration Manager (ConfigMgr) 存在 **SQL注入** 漏洞。 💥 **后果**：攻击者可 **远程执行代码 (RCE)**，完全控制受影响系统。

🔍 **根本原因**：**CWE-89** SQL注入。 📍 **缺陷点**：Management Point 组件未正确验证用户输入，导致恶意 SQL 查询被执行。

🎯 **受影响产品**：Microsoft Configuration Manager。 📦 **具体版本**： - **2303** - **2309** - **2403** (PoC提及) ⚠️ 注意：缺少关键补丁 KB29166583 的版本均高危。

👮 **权限提升**：查询以 **MP机器账户** 身份执行，该账户拥有 **sysadmin** 角色权限。 🔓 **黑客能力**： - 执行任意 SQL 查询 - 通过 `xp_cmdshell` 等存储过程实现 **远程代码执行** - 获取数据库及服务器最高控制权

🚪 **利用门槛**：**极低**。 🔑 **认证**：**无需认证 (Unauthenticated)**。 🌐 **网络**：只需对 Management Point 有 **网络访问权限** 即可发起攻击。

💣 **现成Exp**：**有**。 📂 **PoC链接**： - Python版：`synacktiv/CVE-2024-43468` - Go版 (mTLS)：`nikallass/CVE-2024-43468_mTLS_go` 🔥 **状态**：公开可用，攻击门槛极低。

🔎 **自查方法**： 1. 检查是否运行 **ConfigMgr 2303/2309/2403**。 2. 确认是否安装补丁 **KB29166583**。 3. 扫描 Management Point 端口，检测是否存在未认证的 SQL 注入点。

🛡️ **官方修复**：微软已发布安全更新。 📝 **关键补丁**：**KB29166583**。 ✅ **建议**：立即检查并安装最新累积更新。

🚧 **临时规避**： - 若无法立即打补丁，限制 Management Point 的 **网络访问**。 - 配置防火墙，仅允许受信任 IP 访问相关端口。 - 监控 SQL 日志中的异常查询。

🔥 **紧急程度**：**极高 (Critical)**。 📊 **CVSS评分**：**9.8** (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。 💡 **建议**：立即修复！无需认证即可远程 RCE，风险极大。