Recientemente se descubrió una vulnerabilidad crítica de inclusión de archivos locales (LFI) en la exportación de Microsoft 365 a la funcionalidad PDF, lo que puede permitir a los atacantes acceder a datos confidenciales del lado del servidor, incluidos archivos de configuración, credenciales de bases de datos y código fuente de aplicaciones.
La vulnerabilidad, informada por el investigador de seguridad Gianluca Baldi y posteriormente parcheado por Microsoft, obtuvo una recompensa de $ 3,000 por su impacto significativo en la seguridad empresarial.
Control de llave
1. Flaw de inclusión de archivos locales (LFI) en la función de exportación de Microsoft 365 a PDF permitió a los atacantes acceder a archivos confidenciales del lado del servidor.
2. Las etiquetas HTML maliciosas extraen archivos del servidor en el PDF convertido.
3. Configuraciones expuestas, credenciales y posibles datos de inquilino cruzado.
4. Microsoft parcheó la vulnerabilidad después de que el investigador de seguridad Gianluca Baldi lo informó a través de su programa de recompensas de errores.
Esta falla explotó un comportamiento indocumentado en las API de Microsoft Graph que habilitó la conversión HTML a PDF con capacidades de inclusión de archivos integrados.
Descripción general de la vulnerabilidad de inclusión de archivos locales (LFI)
Gianluca calvo descubrió el Vulnerabilidad durante una evaluación de la aplicación web del cliente, donde una función de conversión de archivos transformó los documentos en formato PDF a través de la integración de Microsoft 365 SharePoint.
Las API de Microsoft Graph admiten oficialmente la conversión de PDF de múltiples formatos, incluidos CSV, DOC, DOCX, ODP, ODS, ODT, POT, POTX, POTX, PPS, PPSX, PPSXM, PPT, PPTM, PPTX, RTF, XLS y XLSX, a través del parámetro HTTP de formato. Sin embargo, un comportamiento indocumentado permitió la conversión HTML a PDF, creando una superficie de ataque inesperada.
Este proceso de conversión carecía de la validación de entrada adecuada y las restricciones de ruta de archivo, lo que permite ataques transversales de ruta que podrían acceder a archivos fuera del directorio raíz designado del servidor.
El proceso de explotación implicó integrar etiquetas HTML maliciosas como, como,
Archivo html malicioso
Los atacantes podrían crear archivos HTML especialmente diseñados que contienen estas etiquetas con rutas de archivos que apuntan a archivos del sistema confidenciales como Web.Config, Win.ini u otros archivos de configuración críticos.
La secuencia de ataque consistió en tres pasos directos: primero, cargar un archivo HTML malicioso a través de la API de Microsoft Graph; segundo, solicitar la conversión de archivo al formato PDF a través del punto final de la API; y tercero, descargando el PDF resultante que contiene el contenido de archivo local incrustado.
Solicite el archivo en formato PDF
Esta vulnerabilidad de inclusión de archivos local evitó efectivamente los controles de seguridad estándar y las restricciones de acceso a archivos.
Mitigaciones
Las implicaciones de seguridad de esta vulnerabilidad se extendieron más allá de la simple divulgación de archivos, que potencialmente exponen los secretos de Microsoft, las cadenas de conexión de la base de datos, el código fuente de la aplicación y, en los entornos múltiples, escenarios de exposición a datos de inquilinos cruzados.
La vulnerabilidad recibió una calificación de gravedad “importante” del Centro de Respuesta de Seguridad de Microsoft (MSRC), lo que refleja su potencial de violaciones de datos significativas en entornos empresariales.
Las organizaciones que utilizan las funciones de conversión de documentos de Microsoft 365 estaban en riesgo hasta que Microsoft implementó la validación de entrada adecuada y los controles de desinfección de la ruta de archivo.
El proceso de remediación implicó restringir el procesamiento de etiquetas HTML durante la conversión de PDF e implementar una validación de ruta de archivos estricto para evitar ataques transversales del directorio.
Desde entonces, Microsoft ha parcheado esta vulnerabilidad, pero el incidente destaca la importancia de las pruebas de seguridad exhaustivas para comportamientos de API indocumentados y funciones de procesamiento de archivos.
Piense como un atacante, dominando la seguridad del punto final con Marcus Hutchins – Registrarse ahora
