В сфере кибербезопасности возникла серьезная обеспокоенность после публикации доказательства концепции (PoC) для новой уязвимости удаленного выполнения кода (RCE) в инструментарии Microsoft IIS Web Deploy. Уязвимость, получившая идентификатор CVE-2025-53772, позволяет аутентифицированным злоумышленникам выполнять произвольный код на уязвимых веб-серверах.
Детали уязвимости
Проблема кроется в логике небезопасной десериализации в компонентах msdeployagentservice и msdeploy.axd. IIS Web Deploy (msdeploy) представляет собой мощный набор инструментов от Microsoft, предназначенный для упаковки и синхронизации веб-приложений, конфигураций IIS и связанных с ними ресурсов между различными средами. Сервис поддерживает два основных пути развертывания: через Службу управления веб-сервером (WMSvc), доступную по HTTP(S) эндпоинту /msdeploy.axd, и через Службу агента Web Deploy (MsDepSvc). Хотя эти функции обеспечивают беспрепятственное развертывание и откат приложений, они же расширяют поверхность атаки службы при недостаточной проверке входных данных.
Техническая суть уязвимости заключается в способе обработки значений HTTP-заголовков. В частности, Web Deploy считывает заголовок MSDeploy.SyncOptions, ожидая получить blob-объект, сжатый с помощью GZip и закодированный в Base64. Внутри системы этот заголовок проходит декодирование из Base64, затем декомпрессию GZip и, наконец, десериализацию с использованием .NET BinaryFormatter. Поскольку BinaryFormatter создает экземпляр любого объекта, найденного в сериализованном потоке, злонамеренная полезная нагрузка, контролируемая атакующим, может принудить сервер к выполнению произвольных команд.
Публично доступный пример эксплоита на GitHub демонстрирует минимальный генератор полезной нагрузки на C#, который строит цепочку делегатов SortedSet. После сериализации, сжатия GZip и кодирования Base64 атакующий отправляет полученные данные в заголовке SyncOptions HTTP POST запроса к /msdeploy.axd. Если целевой хост принимает запрос, сервер выполняет декомпрессию, десериализацию и запускает внедренную команду. Злоумышленники, обладающие действительными учетными данными, которые часто получаются путем кражи или из-за ошибок конфигурации, могут развертывать бэкдоры, перемещаться по сети или похищать конфиденциальные данные. Учитывая, что многие предприятия полагаются на Web Deploy для автоматизированного развертывания, окно для устранения последствий взлома может быть значительным.
Корпорация Microsoft присвоила CVE-2025-53772 высокий уровень опасности - 8.8 балла - и опубликовала рекомендации, настоятельно призывая администраторов немедленно установить последние обновления для Web Deploy. До тех пор пока обновления не будут повсеместно развернуты, организациям следует ограничить доступ к конечным точкам Web Deploy с помощью списков разрешенных IP-адресов или VPN-туннелей, применять принцип наименьших привилерий для учетных записей служб, используемых msdeploy, отслеживать журналы IIS на предмет аномального использования заголовка SyncOptions, а также рассмотреть возможность отключения обработчиков MsDepSvc и /msdeploy.axd, если они не требуются. В долгосрочной перспективе библиотеки безопасной десериализации или пользовательская валидация должны заменить BinaryFormatter там, где это возможно. В средах с высоким риском изоляция хостов Web Deploy за выделенными бастионами развертывания может минимизировать перемещение злоумышленника после компрометации.
CVE-2025-53772 подчеркивает сохраняющуюся опасность небезопасной десериализации и необходимостью тщательной проверки входных данных в конвейерах развертывания. Организациям необходимо действовать быстро, чтобы исправить проблему и укрепить свою инфраструктуру Web Deploy против этой критической угрозы удаленного выполнения кода.
Ссылки
- https://gist.github.com/hawktrace/67836c7e9f35b72077b50f220349cd73
- https://nvd.nist.gov/vuln/detail/CVE-2025-53772
- https://www.cve.org/CVERecord?id=CVE-2025-53772
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53772
