Hack Alerta

PoC e detalhes técnicos liberados para vulnerabilidade de execução remota de código no SharePoint

Pesquisadores liberam PoC para CVE-2025-53770, falha crítica de RCE no SharePoint Server on-premises. Exploração via XML schema bypass permite execução de código sem autenticação.

Descoberta e escopo da vulnerabilidade

Uma nova pesquisa de segurança revelou a liberação de código de prova de conceito (PoC) e detalhes técnicos profundos para a vulnerabilidade CVE-2025-53770, uma falha crítica de execução remota de código (RCE) no Microsoft SharePoint Server on-premises. A divulgação deste exploit eleva significativamente o risco de weaponização rápida e exploração em massa contra ambientes SharePoint não corrigidos, exigindo atenção imediata das equipes de segurança e operações.

A falha é classificada como uma vulnerabilidade de desserialização de dados não confiáveis, ocorrendo na forma como o SharePoint processa fontes de dados especialmente elaboradas. Isso permite que um atacante não autenticado execute código arbitrário sobre a rede, comprometendo a integridade e a confidencialidade dos dados armazenados no servidor.

Impacto e alcance

O bug afeta especificamente as versões on-premises do SharePoint Server 2016, 2019 e a Edição de Assinatura. É importante notar que o Microsoft 365 SharePoint Online não está afetado por esta vulnerabilidade específica, o que limita o escopo de risco para organizações que utilizam exclusivamente a nuvem pública. No entanto, para empresas com infraestrutura local, o impacto é direto e severo.

Após os patches de emergência iniciais, a Microsoft lançou uma segunda correção que introduziu um novo componente TypeNameParserImpl. Esta alteração visa modificar a forma como os nomes de tipos são analisados para objetos DataSet, abordando especificamente problemas com o tratamento de tipos genéricos que permitiam a exploração anterior.

Vetor e exploração técnica

A pesquisa publicada pela Viettel Cyber demonstra como os atacantes podem ainda alcançar execução remota de código explorando o processamento de esquema XML no controle ExcelDataSet utilizado pelos serviços de Business Intelligence (BI) do PerformancePoint. O ataque foca no serviço web BIMonitoringAuthoringService no endpoint /_vti_bin/PPS/PPSAuthoringService.asmx, que expõe um método TestConnection para validar conexões de fontes de dados.

Quando um objeto DataSource com SourceName="ExcelWorkbook" é passado para esta API, o SharePoint utiliza um XmlSerializer para desserializar o campo dataSource.CustomData em uma instância ExcelDataSet e, em seguida, acessa o ExcelDataSet.DataTable. A Viettel Cyber Security descobriu que a falha contorna o XmlValidator explorando como as importações de esquema XML são tratadas, permitindo que tipos inseguros passem pela validação.

O DataSetSurrogateSelector da Microsoft restringe a entrada para "XmlSchema" e "XmlDiffGram" e executa o XmlValidator para garantir que apenas tipos permitidos sejam usados. No entanto, o XmlValidator vê apenas a string principal do XmlSchema. Ao incorporar elementos <xs: import> e <xs: include> que referenciam um XSD externo na rede, o atacante força o pré-processador .NET XmlSchema a buscar um esquema adicional de um servidor HTTP controlado pelo atacante.

Como o XmlValidator não inspeciona o esquema importado, as definições de tipos maliciosas contidas no XSD externo nunca são bloqueadas. O PoC utiliza essa lacuna para definir um msdata: DataType que aponta para uma cadeia de tipos genéricos complexa que termina com System.Web.UI.LosFormatter e System.Windows.Data.ObjectDataProvider, gadgets de desserialização conhecidos capazes de executar código arbitrário quando alimentados com payloads controlados.

Evidências e limites

Com o bypass do esquema em vigor, o atacante elabora um payload XmlDiffGram correspondente que preenche uma linha contendo o elemento malicioso com: pwn. O diffgram instancia um objeto ExpandedWrapper, que então chama LosFormatter.Deserialize em dados fornecidos pelo atacante, acionando finalmente a execução remota de código.

No tempo de execução, a pilha de chamadas flui através de BinarySerialization.Deserialize() e rotinas auxiliares que reconstroem objetos de uma string base64 compactada, antes de alcançar ExcelDataSet.get_DataTable(), ExcelDataSourceProvider.SetDataSource(), DataSourceRegistry.GetDataSource() e ServerHelper.TestDataSourceConnection() dentro da pilha do PerformancePoint do SharePoint.

O PoC demonstra plena explorabilidade usando uma conta de membro de site de baixa privilégio. O atacante primeiro cria uma lista do SharePoint e um item, depois inicia um servidor HTTP que hospeda o arquivo de esquema externo (por exemplo, common.xsd) acessível pelo servidor SharePoint. Eles constroem uma solicitação SOAP para PPSAuthoringService.asmx invocando TestConnection, definindo SourceName="ExcelWorkbook" e incorporando o XML malicioso ExcelDataSet e o diffgram no campo CustomData.

Medidas de mitigação recomendadas

Organizações executando SharePoint on-premises devem tratar isso como uma emergência. As ações imediatas incluem:

  • Aplicar patches: Instalar as últimas correções da Microsoft para CVE-2025-53770 imediatamente.
  • Integração AMSI: Habilitar a integração do Microsoft Antimalware Scan Interface (AMSI) para detecção de scripts maliciosos.
  • Rotação de chaves: Rotação dos valores de ASP.NET MachineKey para prevenir ataques de desserialização baseados em criptografia.
  • Threat Hunting: Realçar a caça a ameaças para atividade suspeita no PerformancePoint e ViewState em servidores expostos.

Implicações regulatórias e operacionais

A disponibilidade de cadeias de gadgets detalhadas e técnicas de importação de esquema provavelmente acelerará ataques de cópia. A exploração ativa confirmada por fornecedores de segurança e campanhas de ataque em larga escala do tipo ToolShell contra o SharePoint reforçam a necessidade de monitoramento contínuo. A falha destaca a persistência de vulnerabilidades de desserialização em componentes .NET, que continuam sendo vetores críticos para comprometimento de servidores web.

Perguntas frequentes

Qual a severidade da falha? É classificada como crítica devido à capacidade de execução remota de código sem autenticação.

O SharePoint Online é afetado? Não, a vulnerabilidade afeta apenas as versões on-premises (2016, 2019 e Subscription Edition).

Como identificar exploração? Monitorar logs de acesso ao endpoint /_vti_bin/PPS/PPSAuthoringService.asmx e tráfego de saída para servidores HTTP externos suspeitos.


Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.