Exécution de code arbitraire : une vulnérabilité de code à distance découverte dans l'outil IIS Web Deploy (msdeploy) de Microsoft

Une vulnérabilité critique d'exécution de code à distance dans l'outil IIS Web Deploy (msdeploy) de Microsoft a été publiée cette semaine. Une vulnérabilité qui déclenche des alarmes urgentes. La faille réside dans la désérialisation non sécurisée du contenu de l'en-tête HTTP dans msdeployagentservice et msdeploy.axd points de terminaison. Elle permet aux attaquants authentifiés d'exécuter du code arbitraire sur les serveurs cibles. Selon plusieurs experts, le chemin de code vulnérable traite d’une charge utile codée en Base64 et compressée par GZip extraite de l'en-tête HTTP MSDeploy.SyncOptions.

Par ailleurs, la séquence de décodage Base64 suivie de décompression GZip et BinaryFormatter.Deserialize() ne parvient pas à appliquer la liste blanche de types et cela permet aux charges utiles malveillantes d'instancier des objets dangereux. En particulier, la création d'un objet SortedSet<string> soutenu par une liste d'invocations MulticastDelegate manipulée déclenche le démarrage du processus qui conduit à une exécution de code à distance.

Risques

  • Exécution de code à distance
  • Exécution de code arbitraire

Systèmes affectés

  • Microsoft

Solutions

  • Atténuer en désactivant l'agent, en resserrant l'accès et en corrigeant

 Source :  Cyber Security News