Esta semana se publicó una exploit de prueba de concepto para CVE-2025-53772, una vulnerabilidad de ejecución de código remoto crítico en la herramienta IIS Web de Microsoft (MSDePloy), que aumenta las alarmas urgentes en las comunidades .NET y DevOps.
El defecto reside en la deserialización insegura de los contenidos del encabezado HTTP tanto en los puntos finales MSDePloyAgentService y MSDePloy.axd, lo que permite a los atacantes autenticados ejecutar el código arbitrario en los servidores de destino.
Control de llave
1.
2. POC usa msdeploy. SyncOptions Header to Spawn Commands
3. Mitigante al deshabilitar el agente, endurecer el acceso y parchear
Prueba de concepto para IIS WebDeploy RCE Flaw
En el corazón de CVE-2025-53772 hay una rutina de deserialización personalizada que descuida la validación de entrada robusta.
Hawktrace informes que la ruta del código vulnerable procesa una carga útil con combustión de GZIP-conteada en Base64 tomada del encabezado HTTP de MSDePloy.syncOptions.
La decodificación de la secuencia base64 seguida de la descompresión de GZIP y la información binaria.eserialize () no puede hacer cumplir la lista blanca de tipo, lo que permite que las cargas maliciosas puedan instanciar objetos peligrosos.
En particular, la creación de un objeto SortedSet respaldado por una lista de invocación multidelegada manipulada desencadena el proceso del inicio, lo que lleva a la ejecución del código remoto.
El POC disponible públicamente demuestra cómo un atacante puede abusar de la mecánica de serialización de .NET:
Enviar esta carga útil en una publicación HTTP a /msdeploy.axd da como resultado el lanzamiento de Calc.exe en el servidor.
Factores de riesgo Los productos afectados por Detailsmicrosoft Implementación web (MSDePloyAgentService y MSDePloy.axd) ImpacTremote Code Execution (RCE) Explote el usuario de despliegue web de prevención de prequisitos. acceso a la red al punto final de implementación; Capacidad para enviar el puntaje HTTP HTTP 3.1 HTTP de HTTP.
Mitigación
Microsoft ha asignado una puntuación CVSS de 8.8 para CVE-2025-53772. Los pasos de mitigación inmediata incluyen deshabilitar el servicio de agente de implementación web (MSDEPSVC), hacer cumplir las estrictas ACL de red en el punto final MSDePloy.axd y aplicar filtrado entrante para bloquear los cabezales inesperados de MSDePloy.SycOptions.
La remediación a largo plazo requiere reemplazar la información binaria con un serializador seguro (por ejemplo, DataContractSerializer con contratos de tipo explícito) y validar todas las entradas de encabezado antes de la deserialización.
A medida que circulan las exploits de POC, las organizaciones que aprovechan el despliegue web de IIS deben priorizar el parche y el endurecimiento para evitar que los atacantes autenticados exploten este vector crítico de RCE.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
