-
09/04/2020
-
108
-
964 bài viết
Lỗ hổng nghiêm trọng trong SharePoint cho phép thực thi mã từ xa qua XML độc hại
Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong Microsoft SharePoint, cho phép kẻ tấn công đã xác thực thực thi mã từ xa bằng cách lợi dụng cơ chế xử lý WebPart. Vấn đề nằm ở quá trình giải tuần tự không an toàn trong hệ thống, qua đó kẻ xấu có thể chèn mã độc vào nội dung XML được nhúng trong WebPart. Microsoft đã phát hành bản vá, tuy nhiên mã định danh CVE cụ thể vẫn chưa được công bố.
Lỗ hổng xuất phát từ cách SharePoint xử lý các điều khiển WebPart chứa nội dung XML. Khi một WebPart được đưa vào trang, hệ thống sẽ tự động phân tích và giải tuần tự các thuộc tính bên trong. Điểm yếu nằm ở lớp SPObjectStateFormatter, nơi thực hiện giải tuần tự dữ liệu mà không giới hạn chặt chẽ kiểu đối tượng được xử lý. Nếu nội dung XML độc hại được chèn vào WebPart, hệ thống sẽ vô tình kích hoạt một chuỗi phương thức dẫn tới việc giải tuần tự dữ liệu không an toàn. Đây là mắt xích then chốt mở đường cho kẻ tấn công thực thi mã tùy ý trên máy chủ SharePoint.
Khi tiếp nhận một WebPart, SharePoint sẽ xử lý nội dung XML bên trong bằng cách gọi tuần tự các phương thức phân tích và giải tuần tự. Trong chuỗi xử lý này, các bước như DoPostDeserializationTasks và đặc biệt là GetAttachedProperties đóng vai trò then chốt. Tại đây, thuộc tính _serializedAttachedPropertiesShared được giải tuần tự thông qua lớp SPObjectStateFormatter. Thành phần kiểm soát kiểu dữ liệu SPSerializationBinder cho phép chấp nhận mọi lớp được khai báo trong danh sách SafeControls. Điều này bao gồm cả lớp SPThemes, một đối tượng có thể thực thi mã trong quá trình khởi tạo, tạo điều kiện để kẻ tấn công kiểm soát hệ thống.
Lợi dụng điểm yếu trong quá trình giải tuần tự, kẻ tấn công có thể tạo payload nhị phân độc hại, mã hóa dưới dạng Base64 rồi nhúng trực tiếp vào XML của WebPart. Khi được gửi đến máy chủ SharePoint qua giao diện SOAP, payload này sẽ buộc hệ thống tự động xử lý và kích hoạt mã độc. Việc tạo payload không đòi hỏi kỹ thuật cao, chỉ cần sử dụng công cụ như ysoserial để sinh payload giả mạo dưới dạng DataSet, sau đó điều chỉnh để lợi dụng lớp SPThemes nhằm thực thi mã từ xa.
Các tổ chức đang sử dụng SharePoint cần khẩn trương triển khai các bản cập nhật bảo mật mới nhất, đồng thời rà soát toàn bộ WebPart có khả năng tiếp nhận nội dung XML từ phía người dùng. Với cơ chế xử lý dữ liệu thiếu kiểm soát và khả năng bị lợi dụng để thực thi mã từ xa, lỗ hổng này đặt ra rủi ro nghiêm trọng cho môi trường nội bộ. Deserialization từ lâu đã là điểm yếu quen thuộc trong nhiều hệ thống doanh nghiệp, và SharePoint một lần nữa cho thấy vì sao nó cần được giám sát chặt chẽ.
Lỗ hổng xuất phát từ cách SharePoint xử lý các điều khiển WebPart chứa nội dung XML. Khi một WebPart được đưa vào trang, hệ thống sẽ tự động phân tích và giải tuần tự các thuộc tính bên trong. Điểm yếu nằm ở lớp SPObjectStateFormatter, nơi thực hiện giải tuần tự dữ liệu mà không giới hạn chặt chẽ kiểu đối tượng được xử lý. Nếu nội dung XML độc hại được chèn vào WebPart, hệ thống sẽ vô tình kích hoạt một chuỗi phương thức dẫn tới việc giải tuần tự dữ liệu không an toàn. Đây là mắt xích then chốt mở đường cho kẻ tấn công thực thi mã tùy ý trên máy chủ SharePoint.
Khi tiếp nhận một WebPart, SharePoint sẽ xử lý nội dung XML bên trong bằng cách gọi tuần tự các phương thức phân tích và giải tuần tự. Trong chuỗi xử lý này, các bước như DoPostDeserializationTasks và đặc biệt là GetAttachedProperties đóng vai trò then chốt. Tại đây, thuộc tính _serializedAttachedPropertiesShared được giải tuần tự thông qua lớp SPObjectStateFormatter. Thành phần kiểm soát kiểu dữ liệu SPSerializationBinder cho phép chấp nhận mọi lớp được khai báo trong danh sách SafeControls. Điều này bao gồm cả lớp SPThemes, một đối tượng có thể thực thi mã trong quá trình khởi tạo, tạo điều kiện để kẻ tấn công kiểm soát hệ thống.
Lợi dụng điểm yếu trong quá trình giải tuần tự, kẻ tấn công có thể tạo payload nhị phân độc hại, mã hóa dưới dạng Base64 rồi nhúng trực tiếp vào XML của WebPart. Khi được gửi đến máy chủ SharePoint qua giao diện SOAP, payload này sẽ buộc hệ thống tự động xử lý và kích hoạt mã độc. Việc tạo payload không đòi hỏi kỹ thuật cao, chỉ cần sử dụng công cụ như ysoserial để sinh payload giả mạo dưới dạng DataSet, sau đó điều chỉnh để lợi dụng lớp SPThemes nhằm thực thi mã từ xa.
Các tổ chức đang sử dụng SharePoint cần khẩn trương triển khai các bản cập nhật bảo mật mới nhất, đồng thời rà soát toàn bộ WebPart có khả năng tiếp nhận nội dung XML từ phía người dùng. Với cơ chế xử lý dữ liệu thiếu kiểm soát và khả năng bị lợi dụng để thực thi mã từ xa, lỗ hổng này đặt ra rủi ro nghiêm trọng cho môi trường nội bộ. Deserialization từ lâu đã là điểm yếu quen thuộc trong nhiều hệ thống doanh nghiệp, và SharePoint một lần nữa cho thấy vì sao nó cần được giám sát chặt chẽ.
Theo Cyber Press
Chỉnh sửa lần cuối: