Microsoft SharePoint’te, saldırganların web bölümlerine gömülü kötü amaçlı XML içeriği aracılığıyla keyfi kod yürütmesini sağlayan ciddi bir uzaktan kod yürütme (RCE) güvenlik açığı keşfedilmiştir.
Son rapora göre, webpart mülklerinin serileştirme sürecini etkileyen güvenlik açığı, savunmasız SharePoint kurulumları yürüten kuruluşlar için önemli bir güvenlik riskini temsil ediyor.
Güvenlik açığının teknik detayları
Güvenlik açığı, SharePoint’in Web Parça Kontrol Ayrıştırma işleminden, özellikle Microsoft.SharePoint.WebpartPages.Abpart.AddParsedSuboBject () yöntemi içinde ortaya çıkar.
Saldırı vektörü, sistem web bölümü kontrolleri içinde XML içeriğini işlediğinde başlar ve sonuçta uzaktan kod yürütülmesine yol açan tehlikeli bir sazizleme zincirini tetikler.
Sömürü yolu, SharePoint’in dahili mimarisi aracılığıyla öngörülebilir bir dizi izler. Bir web bölümü XML içeriği içerdiğinde, addParsedSuboBject () yöntemi literalControl metnini işler ve XML olarak ayrıştırır.
Bu ayrıştırılan içerik daha sonra, deseralizasyon sonrası görevleri yürütmeden önce web bölümü nesnesini yeniden yapılandırmak için XMLSerializer kullanan webpart.parsexml () aracılığıyla seansize edilir.
Kritik zayıflık, SharePoint’in SPOBJECTSTATEFormatter sınıfını kullanarak _SerializeStachedPropertiessenessheared alanını stajyer olan WebPart.GetAtachedProperties () yönteminde yer alır.
SharePoint’in ObjectStateFormatter versiyonu olarak hizmet veren bu biçimlendirici, nihayetinde seansizasyon operasyonları için ikili formatter kullanır.
Güvenlik açığı, SafeControls’ta listelenen herhangi bir sınıfın ikili seansize edilmesine izin veren SharePoint’in SPSerializationBinder aracılığıyla sömürülebilir hale gelir.
Saldırganlar, veri kümesini uygulayan ve serileştirme yapıcısını kullanan ve onu sömürü için ideal bir araç haline getiren Microsoft.Sharepoint.ApplicationPages.spthemes sınıfından yararlanabilir.
Bu güvenlik açığını silahlandırmak için saldırganlar, eklipropertiesselen elemanında gömülü serileştirilmiş yüklerle özel olarak hazırlanmış XML içeren kötü niyetli web parçaları oluştururlar.
Kötü niyetli web bölümü yapısı, SharePoint’in süzelleştirme mekanizmaları tarafından işlendiğinde, keyfi kod yürütmeyi tetikleyen Base64 kodlu bir yük içerir.
Saldırı Vektörü ve Etki
Güvenlik açığı, ConvertWebPartFormat Sabun Eylemini kullanarak /_vti_bin/webpartpages.asmx hizmeti dahil olmak üzere birden çok uç noktadan yararlanabilir.
Saldırganlar, HTTP sonrası istekleri aracılığıyla kötü amaçlı XML yüklerini gönderebilir, bu da SharePoint yönetim arayüzlerine kimliği doğrulanmış erişim gerektirmeden uzaktan sömürüyü mümkün kılar.
Başarılı sömürünün etkisi, saldırganlara etkilenen SharePoint sunucusu üzerinde tam kontrol sağladığı için şiddetlidir.
Bu, hassas kurumsal verilere erişme, SharePoint konfigürasyonlarını değiştirme ve potansiyel olarak ağ altyapısındaki diğer sistemlere dönme yeteneğini içerir.
Güvenlik açığının son SharePoint güncellemelerinde yamalandığı bildiriliyor, ancak spesifik CVE tanımlayıcısı ve etkilenen sürüm aralıkları belirsizliğini koruyor.
Kuruluşlar, SharePoint kurulumlarını derhal mevcut en son sürümlerle güncellemeli ve SharePoint Web Hizmetlerine erişimi kısıtlamak için ağ düzeyinde korumaları uygulamalıdır.
Kapsamlı bir güvenlik stratejisinin bir parçası olarak düzenli güvenlik değerlendirmeleri ve şüpheli web bölümü değişikliklerinin izlenmesi de önerilmektedir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now