Un chercheur en sécurité a trouvé une nouvelle façon d’exploiter un bogue de désérialisation récemment corrigé dans Microsoft SharePoint et d’organiser des attaques d’exécution de code à distance (RCE).

La faille, une variante d’un problème corrigé en février, utilise les fonctionnalités de création de site de SharePoint, la plate-forme intranet de Microsoft, pour télécharger et exécuter des fichiers malveillants sur le serveur.

De nombreux langages utilisent la sérialisation et la désérialisation pour transmettre des objets complexes aux serveurs et entre les processus. Si le processus de désérialisation n’est pas sécurisé, un adversaire pourra l’exploiter pour envoyer des objets malveillants et les exécuter sur le serveur.

Nguyễn Tiến Giang (Jang), chercheur en sécurité chez StarLabs, a découvert que lorsque les serveurs SharePoint sont configurés d’une certaine manière, ils seront sujets aux attaques de désérialisation pouvant conduire à RCE.

Désérialisation partie deux

Dans un détail article de blogJang explique qu’un adversaire peut exploiter le bogue en créant une liste SharePoint sur le serveur et en téléchargeant une chaîne de gadgets malveillants avec la charge utile de désérialisation sous forme de pièce jointe PNG.

En envoyant une requête de rendu pour le fichier téléchargé, l’attaquant déclenchera le bogue et exécutera la charge utile sur le serveur.

« Une attaque réussie peut donner à l’attaquant la possibilité d’obtenir l’exécution de code sur le serveur cible avec le privilège d’exécuter le processus w3wp.exe », a déclaré Jang. La gorgée quotidiennefaisant référence au processus de travail IIS qui exécute l’application Web.

TU POURRAIS AUSSI AIMER Les vulnérabilités Web d’Icinga « facilement enchaînées » pour pirater le logiciel de surveillance informatique

Heureusement, la faille ne peut être exploitée que par des adversaires authentifiés et lorsque l’application est dans une configuration désactivée par défaut.

« Heureusement, ce bogue n’existe pas dans un SharePoint avec une configuration par défaut », a déclaré Jang. « Cela nécessite un utilisateur avec le privilège ‘Créer un sous-site’ et le service d’état sur le serveur cible doit être activé. »

Microsoft a corrigé le bogue (CVE-2022-29108) dans la version Patch Tuesday de mai.

« Vieux vin, nouvelle bouteille »

Jang a trouvé le bogue lors de l’analyse de CVE-2022-22005. Il s’est avéré qu’il y avait un autre moyen de déclencher le même bogue.

« En fait, ce bug est très facile à [spot]. Il y avait un article de blog d’analyse à ce sujet en mars. Suivez simplement les instructions de cet article de blog et les gens pourront facilement repérer la nouvelle variante de CVE-2022-22005 », a déclaré Jang.

Jang a décrit le bogue comme « du vieux vin dans une nouvelle bouteille » et a tweeté un mème basé sur ce thème.

Nguyễn Đình Hoàng (hir0ot), qui a écrit un analyse détaillée de CVE-2022-22005, dit La gorgée quotidienne qu’il existe généralement deux façons de corriger les bogues de désérialisation : limiter les points de terminaison qui désérialisent les données non approuvées ou utiliser un classeur de type basé sur une liste blanche.

« Les deux sont difficiles à mettre en œuvre efficacement dans le monde réel, en particulier lorsque la sérialisation/désérialisation se produit dans le protocole, le cadre ou l’application de base qui a été développé il y a tant d’années », a déclaré hir0ot.

« Et le correctif ne doit pas non plus avoir d’impact sur le fonctionnement fonctionnel de l’application. Tout correctif peut facilement conduire à un bogue.