Servidores en línea de Microsoft Office están abierto a la explotación de SSRF y RCE

El comportamiento funciona según lo previsto, dice Microsoft, y ofrece consejos de mitigación en su lugar.

Los servidores de Windows que ejecutan Microsoft Office Online Server pueden explotarse para lograr la falsificación de solicitudes del lado del servidor (SSRF) y, posteriormente, la ejecución remota de código (RCE) en el host, según los investigadores de seguridad.

Los investigadores de MDSec dijeron que informaron al Centro de respuesta de seguridad de Microsoft sobre sus hallazgos, pero se les dijo que el comportamiento no es un vulnerabilidad sino una característica de Office Online Server y, por lo tanto, no se solucionará.

Lea más sobre las últimas noticias de seguridad de Microsoft

Según MDSec, Microsoft ha aconsejado a los administradores que “bloqueen los puertos y cualquier cuenta en esa granja para tener menos privilegios” para evitar ataques contra los hosts de Office Online conectados a Internet.

Los administradores también pueden establecer el indicador OpenFromUNCEnabled del servicio en falso para evitar el acceso a los archivos a través de las rutas UNC, que es la función utilizada para atacar el servidor.

SSRF

Office Online Server es un servicio ASP.NET que proporciona versiones basadas en navegador de Word, Excel, PowerPoint y OneNote. Office Online brinda acceso a archivos de Office a través de SharePoint, Exchange Server, carpetas compartidas y sitios web.

Office Online tiene una página .aspx para recuperar documentos de recursos remotos. Los atacantes pueden usar este punto final para iniciar conexiones a recursos remotos a través del servidor y realizar SSRF, según un informe técnico de la empresa de seguridad MDSec.

Por ejemplo, los investigadores descubrieron que podían enviar solicitudes GET no autenticadas a la página para tomar las huellas digitales de los dispositivos de la red local del servidor. Según el momento de la respuesta, podrían identificar direcciones IP activas en la red del servidor.

RCE

Los atacantes podrían explotar aún más la vulnerabilidad si controlaran un servidor SMB al que pudiera acceder Office Online Server.

Office Online Server usa su cuenta de equipo para iniciar conexiones a recursos remotos. Al usar el punto final para recuperar un documento en su servidor SMB, los investigadores podrían usar la herramienta ntlmrelayx para obligar al servidor a transmitir la conexión a los Servicios de certificados de Active Directory (ACDS) y recuperar un certificado de cliente para la red de Active Directory.

Con este certificado, pudieron obtener un vale de concesión de vales (TGT), un token de sesión de inicio de sesión, para el host de Office Online Server. Usaron el TGT para enviar una solicitud S4U2Self para falsificar un ticket de servicio al servidor. Esto les permitió obtener acceso de administrador local al host.

Según los hallazgos de los investigadores, había otra vía para obtener acceso remoto al servidor mediante la transmisión de la conexión del punto final al servicio LDAP y la realización de un ataque de credenciales ocultas.

Fuente: https://portswigger.net/daily-swig/microsoft-office-online-server-open-to-ssrf-to-rce-exploit