Se ha identificado una vulnerabilidad de ejecución de código remoto recientemente revelada (RCE) en Microsoft SharePoint, lo que afecta el proceso de deserialización de las propiedades de WebPart.
La vulnerabilidad permite a los atacantes ejecutar código arbitrario a través de cargas útiles XML cuidadosamente diseñadas integradas dentro de las piezas web de SharePoint, lo que puede comprometer entornos de SharePoint enteros.
Control de llave
1. XML malicioso en SharePoint WebParts desencadena RCE.
2. La deserialización insegura permite la explotación del constructor del conjunto de datos Spthemes.
3. Carga útil diseñada enviada a través de WebPartPages.ASMX Endpoint.
Este defecto crítico ha sido parcheado, pero sigue siendo una preocupación significativa para las organizaciones que ejecutan instancias vulnerables de SharePoint.
Vulnerabilidad de SharePoint WebPart
Según la seguridad de Viettel informeLa vulnerabilidad se origina en el mecanismo de análisis de Control WebPart de SharePoint, específicamente dentro del método Microsoft.sharepoint.webpartPages.webpart.addparsedSubObject ().
La cadena de ataque sigue una compleja ruta de deserialización a través de múltiples componentes de SharePoint, que finalmente llega a la función vulnerable Microsoft.sharepoint.webpartPages.utility.DeserializeStringToObject ().
La explotación comienza cuando los atacantes inyectan contenido malicioso en los controles de la parte web utilizando la siguiente estructura:
Cuando SharePoint procesa esta entrada, el método AddParsedSubObject () extrae el texto de Control literal y lo pasa a parsexml () para la deserialización.
Este proceso implica el XMLSerializer y posteriormente desencadena el método dopostdeserializationTasks (), creando la vía para la ejecución del código malicioso.
La vulnerabilidad central se encuentra en el método GetAttachedProperties (), donde SharePoint deserializa el campo _SerializedAttAttachedPropertiesShared utilizando el SpSerializationBinder.
Este componente permite la deserialización binaria de cualquier clase dentro de los safeControls de SharePoint, creando una brecha de seguridad significativa.
La sección Código crítico demuestra la vulnerabilidad:
Los atacantes pueden explotar esto dirigiéndose a la clase Microsoft.sharepoint.ApplicationPages.spthemes, que implementa el conjunto de datos y utiliza constructores de serialización inseguros.
La explotación consiste en elaborar una carga útil maliciosa utilizando el elemento adjunto de coeficiente dentro de la estructura XML WebPart.
Mitigaciones
La vulnerabilidad afecta a SharePoint Versión 15.0.5145.1000 y también puede afectar otras versiones. La explotación exitosa otorga a los atacantes capacidades de ejecución del código remoto dentro del contexto de la aplicación SharePoint, lo que puede conducir a un compromiso completo del sistema.
El vector de ataque utiliza los servicios web incorporados de SharePoint, específicamente el punto final /_vti_bin/webpartpages.asmx con el método ConvertwebpartFormat.
Las organizaciones deben aplicar inmediatamente las últimas actualizaciones de seguridad de SharePoint e implementar una validación de entrada estricta para el contenido de WebPart.
Además, la segmentación de red y el monitoreo de los puntos finales del servicio web de SharePoint pueden ayudar a detectar posibles intentos de explotación.
La vulnerabilidad destaca la importancia crítica de las prácticas seguras de deserialización en las aplicaciones empresariales y la necesidad de revisiones de seguridad integrales de marcos de aplicaciones complejas como SharePoint.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
