Исследователь проник на сервер Microsoft, использовав брешь в Adobe Experience Manager

Специалист в области информационной безопасности Питер Эдкинс (Peter Adkins) рассказал о том, как ему удалось проникнуть на сервер компании Microsoft, воспользовавшись для этого уязвимостью CVE-2016-0957, еще в конце 2015 года обнаруженной в Adobe Experience Manager (ранее CQ5 или Communique5).

Профессиональный охотник за bug bounty обнаружил RCE-уязвимость по адресу signout.live.com, принадлежащему Microsoft. К сожалению, вознаграждения за свою работу Эдкинс так и не получил, но об этом немного ниже.

Уязвимость CVE-2016-0957 Эдкинс нашел в компоненте Dispatcher (Диспетчер) еще в конце 2015 года. По сути, баг позволяет атакующему обойти URL-фильтры, которые должны ограждать определенные разделы CMS от нежелательного доступа.

Когда исследователь сообщил о проблеме Adobe, ему ответили, что баг в Диспетчере был исправлен с выходом версии 4.1.5. Так как Эдкинс наблюдал проблему в версии 4.1.9, а также не сумел найти никаких бюллетеней безопасности и дополнительной информации об уязвимости, он вновь обратился к Adobe с просьбой прояснить ситуацию. В итоге Эдкинс вынудил компанию опубликовать бюллетень APSB16-05, вышедший в феврале 2016 года. В документе практически задним числом сообщалось, что «Диспетчер версии 4.1.5 и выше устраняет уязвимость обхода фильтра URL-адресов, которая может использоваться для обхода правил диспетчера». Исследователь отмечает, что даже после вышедшего патча простого обновление Диспетчера все равно недостаточно, нужно также заменить glob фильтры на url фильтры.

Эдкинс не искал примеров для эксплуатации CVE-2016-0957, но волей случая обнаружил, что неправильная настройка Abode AEM и найденная им проблема присутствуют на signout.live.com. Исследователь заметил проблему случайно, общаясь с сервисом Microsoft Live, для которого на signout.live.com являлся дефолтной страницей в случае логаута из Microsoft Live.

В своем блоге исследователь называет обнаруженную проблему «самой дурацкой RCE-уязвимостью в мире». Попав на signout.live.com, Эдкинс заметил, что Microsoft использует Adobe AEM, хорошо знакомый специалисту после недавних изысканий и переписки с Adobe. Заинтересовавшись, исследователь опробовал обход фильтров на продукте Microsoft и, к его удивлению, атака сработала. Так Эдкинс добрался до OSGi-консоли, после чего ему случайно повезло еще раз.

Глядя на окно, запрашивающее учетные данные (см. верхнюю иллюстрацию), исследователь подумал «а вдруг?» и попробовал ввести admin/admin. Тут Эдкинс удивился еще раз, потому что дефолтные учетные данные подошли и он залогинился в Adobe AEM, используемую Microsoft. После этого, в теории, Эдкинс мог делать с системой, что угодно.

Но proof-of-concept, который специалист описывает в своем блоге, никогда не применялся к серверам Microsoft. Вместо этого Эдкинс честно сообщил компании о проблеме еще в декабре 2015 года, и к маю 2016 года разработчики окончательно устранили уязвимость.

Вознаграждения за все обнаруженные проблемы Эдкинс не получил. У Adobe фактически нет bug bounty программы, а домен signout.live.com не подпадает под программу вознаграждений Microsoft. Впрочем, исследователь не расстраивается. В заключение он пишет: «такова жизнь! :)», а также благодарит за сотрудничество специалистов, которым он все эти месяцы помогал устранять баги.