Une faille de sécurité critique présente dans Microsoft Configuration Manager est désormais considérée comme exploitée par la CISA. Cette faille, bien qu’elle ne soit pas récente, est aujourd’hui encore exploitée par les cybercriminels. Voici ce que l’on sait.

La CVE-2024-43468 ciblée par les attaquants

Pour rappel, Microsoft Configuration Manager (anciennement SCCM) est un outil populaire dans les entreprises puisqu’il permet de gérer les postes de travail à grande échelle, notamment pour le déploiement des systèmes d’exploitation et la gestion des mises à jour.

L’alerte de sécurité lancée par la CISA (Cybersecurity and Infrastructure Security Agency) concerne la CVE-2024-43468, une faille de sécurité patchée en octobre 2024 par Microsoft. Découverte et signalée par l’entreprise Synacktiv, cette faille est considérée comme critique. En effet, il s’agit d’une injection SQL qui permet à un attaquant distant, sans aucune authentification, d’exécuter du code arbitraire sur le serveur SCCM. L’exploitation de cette vulnérabilité peut donc mener à la compromission du serveur.

Lors de la publication du correctif en octobre 2024, Microsoft décrivait cette vulnérabilité de la façon suivante : “Un attaquant non authentifié pourrait exploiter cette vulnérabilité en envoyant des requêtes spécialement conçues à l’environnement cible, qui sont traitées de manière non sécurisée, permettant ainsi à l’attaquant d’exécuter des commandes sur le serveur et/ou la base de données sous-jacente.“

Malgré la gravité de cette vulnérabilité, Microsoft considérait également que l’exploitation de cette vulnérabilité était peu probable. Toutefois, la donne a changé fin novembre 2024, lorsque les chercheurs de Synacktiv ont publié un code de preuve de concept (PoC), démontrant la faisabilité de l’attaque. Plus d’un an plus tard, nous avons la confirmation que cette vulnérabilité est exploitée.

Comment se protéger ?

Suite à plusieurs signalements, la CISA a officiellement ajouté cette vulnérabilité à son catalogue des failles connues pour être exploitées (KEV – Known Exploited Vulnerabilities). D’ailleurs, aux États-Unis, cette décision a une conséquence directe : les agences fédérales doivent patcher leur système d’ici le 5 mars 2026.

C’est donc une recommandation qu’il peut s’avérer utile de suivre, car le catalogue KEV de la CISA met en évidence les dernières tendances en matière d’exploitation de vulnérabilités.

Microsoft avait déployé des correctifs pour les versions suivants :

• Microsoft Configuration Manager 2403 : KB29166583
• Microsoft Configuration Manager 2309 : KB29166583
• Microsoft Configuration Manager 2303 : KB29166583

Si vous effectuez un suivi sérieux des mises à jour de votre serveur SCCM / MCM, vous devriez être déjà protégé de cette vulnérabilité.