Alertas de seguridad

Ejecución remota de código sobre servidores de Sharepoint

Sharepoint es una plataforma para la gestión de contenidos basada en web que permite el trabajo en equipo en ambientes corporativos y almacena información confidencial de una organizacion; esta herramienta se utiliza para la administración de procesos, colaboración, gestión documental, bases de conocimientos, blogs, entre otras funcionalidades. Recientemente fue publicado el CVE-2020-1147, descubierto por los investigadores Oleksandr Mirosh, Markus Wulftange y Jonathan Birch. Este fallo de seguridad se encuentra en dos componentes de .NET, (DataSet y DataTable), los cuales son utilizados para administrar conjuntos de datos.

Los componentes vulnerables son: .NET Core 2.1, .NET Framework 2.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2 y 4.8 (según la versión de Windows), SharePoint Enterprise Server 2013 Service Pack 1, SharePoint Enterprise Server 2016, SharePoint Server 2010 Service Pack 2, SharePoint Server 2019, Visual Studio 2017 versión 15.9 y Visual Studio 2019 versiones 16.0, 16.4 y 16.6.

La vulnerabilidad CVE-2020-1147 puede ser aprovechada por un atacante cuando la plataforma no puede verificar el marcado de origen en la entrada de un archivo XML (Extensible Markup Language). Esto quiere decir que la explotación satisfactoria de este fallo permite la ejecución de código en el contexto del proceso responsable de la deserialización del contenido XML. Dicho en otras palabras, un atacante podría cargar un documento modificado para procesar el contenido sobre un servidor que cuente con un producto afectado.

Según Microsoft: “Si los datos XML entrantes contienen un objeto cuyo tipo no está en esta lista, se lanza una excepción. La operación de deserialización falla. Al cargar XML en una instancia de DataSet o DataTable existente, las definiciones de columna existentes también se tienen en cuenta. Si la tabla ya contiene una definición de columna de un tipo personalizado, ese tipo se agrega temporalmente a la lista de permisos durante la operación de deserialización XML.”

Actualmente existen pruebas de concepto y exploits publicados que permiten explotar esta vulnerabilidad, por ende, se prevé que en los próximos días se incrementen la cantidad de ataques dirigidos hacia servidores de SharePoint.


Acciones recomendadas

  • A través de su portal oficial, Microsoft recomienda corregir este fallo lo antes posible mediante las actualizaciones de seguridad para los siguientes componentes afectados:
  • .NET Core.
  • .NET Framework.
  • SharePoint Enterprise Server (2013 y 2016).
  • SharePoint Server (2010 y 2019).
  • Visual Studio (2017 y 2019).

Guía de actualización de seguridad de Microsoft (CVE-2020-1147) https://portal.msrc.microsoft.com/en-US/security guidance/advisory/CVE-2020-1147