如何通过BDC反序列化在Microsoft SharePoint上执行任意代码

FB客服

发布于 2019-11-06 19:29:23

1.3K0

发布于 2019-11-06 19:29:23

文章被收录于专栏：FreeBuf

写在前面的话

在今年年初，研究人员Markus Wulftange（@mwulftange）曾报告过Microsoft SharePoint中的一个远程代码执行漏洞（RCE），该漏洞的CVE编号为CVE-2019-0604。而在今年的九月初，Markus又在SharePoint中发现了另外三个新的远程代码执行漏洞，即CVE-2019-1295，CVE-2019-1296和CVE-2019-1257。在这篇文章中，我们将对最后一个漏洞，也就是CVE-2019-1257（ZDI-19-812）进行详细分析。目前，所有版本的SharePoint都会受到该漏洞的影响，微软方面也将该漏洞的可利用等级评估为最高等级，这也就意味着在不久的将来，会有很多网络犯罪分子利用该漏洞实施攻击。

漏洞细节

这个漏洞存在于微软SharePoint中的业务数据（BDC）连接服务之中，由于自定义的BDC模型中可以使用任意的方法参数类型，从而导致Microsoft SharePoint 2016中的业务数据连接（BDC）服务容易受到XmlSerializer流的任意反序列化的攻击。早在2017年的Black Hat黑帽黑客大会上，研究人员Alvaro Muñoz和Oleksandr Mirosh就曾介绍过如何通过对XmlSerializer流进行任意反序列化并实现任意代码执行【参考文档：https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf】。

SharePoint允许使用业务数据连接模型文件格式（MS-BDCMFFS）数据格式来指定自定义的BDC模型，这种规范中的部分内容为方法和参数定义。下面给出的是微软提供的样本：

上述代码定义了一个名叫GetCustomer的方法，它负责封装一个名叫sp_GetCustomer的程序，这两者的输入参数(Direction=”In”)和返回参数(Direction=”Return”)都使用了各自对应类型的描述来定义。

在上述样本中，输入参数的原始类型为System.Int32，这就没什么大问题。但如果定义的BDC模型参数类型为Microsoft.BusinessData.Runtime.DynamicType，就会出现问题了。这种方案的好处在于允许开发人员灵活地通过该参数传递不同类型的值，但坏处就是为反序列化的调用方提供了任意的XmlSerializer流。