Redazione RHC : 3 septiembre 2025 12:30
Esta semana, se publicó un exploit de prueba de concepto para CVE-2025-53772, una vulnerabilidad crítica de ejecución remota de código en la herramienta IIS Web Deploy (msdeploy) de Microsoft, que ha generado alarmas urgentes en las comunidades .NET y DevOps.
CVE-2025-53772 es una vulnerabilidad crítica de ejecución remota de código en los endpoints msdeploy.axd y msdeployagentservice de Microsoft Web Deploy, causada por la deserialización insegura de datos de encabezado HTTP en formato GZip + Base64. Permite la ejecución remota de código por parte de un atacante autenticado.
Microsoft ha asignado una puntuación CVSS de 8,8 a CVE-2025-53772. Las medidas de mitigación inmediatas incluyen la deshabilitación del servicio Web Deploy Agent (MsDepSvc), la aplicación de ACL de red estrictas en el endpoint msdeploy.axd y la aplicación de filtros de entrada para bloquear encabezados MSDeploy.SyncOptions inesperados.
IIS Web Deploy (msdeploy) es un conjunto de herramientas que empaqueta y migra aplicaciones web, configuraciones de IIS y recursos basados en proveedores a un entorno de destino. Admite dos tipos de mecanismos de acceso: a través del Servicio de Administración Web (WMSvc) en endpoints HTTP(S): /msdeploy.axd; a través del Servicio de Agente de Implementación Web (MsDepSvc): msdeployagentservice
Las características clave incluyen: Sincronización e implementación basada en proveedor para archivos, sitios web, certificados, bases de datos, etc. Flujos de trabajo de empaquetado (GetPackage) y aplicación de paquetes (Sync). Esta alta flexibilidad, al combinarse con diseños de serialización que no validan rigurosamente las entradas, amplía la superficie de ataque.
Una solución a largo plazo requiere reemplazar BinaryFormatter por Un serializador seguro (por ejemplo, DataContractSerializer con contratos de tipo explícitos) y la validación de todas las entradas de encabezado antes de la deserialización.
Con el aumento de las vulnerabilidades de prueba de concepto (PoC), las organizaciones que utilizan IIS Web Deploy deben priorizar la aplicación de parches y el refuerzo para evitar que atacantes autenticados exploten este vector RCE. Crítico.
RedazioneLa Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...
