Microsoft’un IIS Web dağıtım araç zincirindeki yeni açıklanan bir uzaktan kod yürütme (RCE) güvenlik açığı, bir kamu kavramının yayınlanmasından sonra endüstri dikkatini çekti.
CVE-2025-53772 olarak izlenen bu kusur, msdeployagentservice ve msdeploy.axd uç noktalarının güvenli olmayan seansizasyon mantığında yer alır ve kimlik doğrulamalı saldırganların savunmasız web sunucularında keyfi kod çalıştırmasına izin verir.
IIS Web Dağıtım (MSDeploy), web uygulamalarını, IIS yapılandırmalarını ve ilişkili kaynakları ortamlar arasında paketlemek ve senkronize etmek için tasarlanmış güçlü bir Microsoft araç setidir.
İki birincil dağıtım yolunu destekler: /msdeploy.axd HTTP (S) uç noktası ve Web Dağıtım Aracı Hizmeti (MSDEPSVC) aracılığıyla erişilebilen Web Yönetim Hizmeti (WMSVC).
Bu özellikler kesintisiz uygulama sunumu ve geri dönüşü sağlarken, giriş doğrulaması gevşek olduğunda hizmetin saldırı yüzeyini de genişletir.
Güvenlik açığı, HTTP başlık değerlerinin serileştirilme şeklinden kaynaklanır. Özellikle, Web Dağıtım Msdeploy.syncoptions üstbilgisini okur ve GZIP sıkıştırılmış, baz64 kodlu bir blob bekler.
Dahili olarak, bu başlık baz64 kod çözmeye ve ardından GZIP dekompresyonuna ve daha sonra .NET’in binaryforme kullanılarak serileştirme geçirir.
BinaryFormatter serileştirilmiş akışta bulunan herhangi bir nesneyi başlatacağından, saldırgan kontrollü bir yük yükü sunucuyu istenmeyen komutları yürütmeye zorlayabilir.
Kusurun teknik dökümü
Msdeploy.syncoptions adlı başlık, sıkı bir doğrulama olmadan bu yönteme aktarıldıktan sonra, Web dağıtım hizmetinde kimlik doğrulaması yapabilen bir saldırgan için sömürü önemsizdir.
İstismar zinciri, cmd.exe /c calc gibi komutları yürütmek için system.diagnostics.process.start’ı çağıran hazırlanmış bir serileştirilmiş nesne grafiği – tipik olarak kaldıraç delegeleri – kullanır.
Konsept ve etki kanıtı
Halka açık bir GitHub GIST, bir sıralı delege zinciri oluşturan minimal bir C# yük jeneratörü gösterir. Serileştirme, GZIP sıkıştırma ve Base64 kodlamasından sonra, saldırgan yükü /msdeploy.axd adresine bir HTTP gönderisinin senkopu başlıklarına gönderir.
Hedef ana bilgisayar isteği kabul etmesi koşuluyla, sunucu gömülü komutu açacak, serileştirecek ve yürütecek.
Geçerli kimlik bilgilerine sahip olan saldırganlar – genellikle kimlik hırsızlığı veya yanlış yapılandırma yoluyla elde edilen saldırganlar, arka kapıları dağıtabilir, diğer sistemlere dönebilir veya hassas verileri dışarı atabilir.
Birçok işletmenin otomatik dağıtımlar için Web dağıtımına güvendiği göz önüne alındığında, kontrat sonrası temizleme penceresi önemli olabilir.
Microsoft, CVE-2025-53772’yi şiddet puanı 8.8 ile derecelendirdi ve yöneticileri en son Web dağıtım güncellemelerini hemen uygulamaya çağıran bir danışma amaçlı yayınladı. Yamalar geniş ölçüde konuşlandırılana kadar, kuruluşlar şunlar olmalıdır:
- IP izin listeleri veya VPN tünelleri aracılığıyla Web dağıtım uç noktalarına erişimi kısıtlayın.
- MSDeploy Hizmetleri tarafından kullanılan hizmet hesaplarını en az uygulayın.
- Anormal Senkoptions başlık kullanımı için IIS günlüklerini izleyin.
- Gerekli değilse MSDEPSVC ve /MSDeploy.axd işleyicilerini devre dışı bırakmayı düşünün.
Güvenli serileştirme kütüphaneleri veya özel doğrulama, mümkün olduğunca BinaryFormatter’ın yerini almalıdır.
Yüksek riskli ortamlarda, özel dağıtım burçlarının arkasındaki Web dağıtım ev sahiplerini izole etmek, uzlaştıktan sonra yanal hareketi en aza indirebilir.
CVE-2025-53772, güvenli olmayan seansizasyonun kalıcı tehlikelerinin altını çizer ve dağıtım boru hatlarında titiz girdi validasyonu ihtiyacını vurgular.
Kuruluşlar, bu kritik RCE tehdidine karşı Web Dağıtım Altyapılarını yamalamak ve güçlendirmek için hızla hareket etmelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.