W połowie sierpnia 2025 roku ujawniono poważną lukę bezpieczeństwa w narzędziu Microsoft Web Deploy 4.0, używanym do publikacji aplikacji webowych na serwerach IIS. Luka – oznaczona jako CVE-2025-53772 – pozwala na zdalne wykonanie kodu przy minimalnych uprawnieniach, co stawia firmy korzystające z tego rozwiązania w obliczu realnego cyberzagrożenia.

Autor: 4 min czytania

Krótko o Microsoft Web Deploy

Narzędzie Web Deploy jest powszechnie stosowane w automatyzacji wdrożeń aplikacji ASP.NET/PHP na serwerach IIS. Pozwala na synchronizację serwerów, pakowanie oraz publikowanie aplikacji bez konieczności pełnych uprawnień administracyjnych. Zagrożenie dotyczy zatem środowisk, gdzie narzędzie to odgrywa kluczową rolę w cyklu CI/CD.

Charakterystyka luki

Luka bezpieczeństwa CVE-2025-53772 w narzędziu Microsoft Web Deploy 4.0 dotyczy mechanizmu deserializacji obiektów .NET. Problem wynika z faktu, że usługa Web Deploy akceptuje dane wejściowe w formacie XML/JSON (przekazywane m.in. w żądaniach HTTP lub w paczkach wdrożeniowych .zip), a następnie próbuje je automatycznie odwzorować na obiekty .NET.

Brak odpowiednich mechanizmów walidacji sprawia, że możliwe jest wstrzyknięcie do takiego strumienia złośliwego payloadu deserializacyjnego, który po odtworzeniu w pamięci zostanie wykonany jako kod. To typowy przykład CWE-502: Deserialization of Untrusted Data.

Dlaczego to groźne?

  • Brak interakcji użytkownika: podatność może zostać wywołana poprzez wysłanie spreparowanego pakietu do serwera bez konieczności logowania się na konto administratora.
  • Niskie uprawnienia: wystarczy posiadać podstawowe konto z dostępem do Web Deploy – np. konto deweloperskie do publikacji aplikacji.
  • Poważne skutki: złośliwy kod działa z uprawnieniami procesu serwera (często NT AUTHORITY\NETWORK SERVICE lub w konfiguracjach błędnych – nawet SYSTEM), co otwiera drogę do pełnego przejęcia maszyny.

Warunki techniczne exploitu

  • Atakujący musi mieć dostęp sieciowy do portu Web Deploy (domyślnie 8732 przy komunikacji SOAP/HTTP lub 8172 przy Web Management Service).
  • Konieczne jest posiadanie dowolnych poświadczeń użytkownika skonfigurowanego w Web Deploy (może to być konto o minimalnych uprawnieniach do publikacji).
  • Payload można dostarczyć poprzez:
    • spreparowany plik paczki wdrożeniowej (.zip) zawierający obiekt serializacyjny,
    • żądanie MSDeploy Handler z zakodowanym obiektem,
    • w rzadkich przypadkach – zdalny sync pomiędzy serwerami IIS.

Jak można ją wykorzystać?

Atakujący posiadający niskie uprawnienia i dostęp do sieci może wysłać spreparowane żądanie HTTP do serwera działającego z usługą Web Deploy i zyskać możliwość zdalnego wykonania kodu. Chociaż Microsoft ocenił, że publiczne wykorzystanie luki jest mało prawdopodobne, eksperci zalecają natychmiastową aktualizację.

Źródło i reakcja Microsoftu Lukę odkrył zespół badawczy Batuhan Er z HawkTrace i zgłosił ją w ramach odpowiedzialnego ujawnienia. Microsoft potwierdził problem i przygotował łatkę, która pojawiła się w wersji Web Deploy 4.0 z poprawką oznaczoną wersją 10.0.2001 i została udostępniona 13 sierpnia 2025 r. Strona pobierania zawiera wiele wersji językowych, w tym polską (webdeploy_amd64_pl-PL.msi).

Rekomendacje i działania naprawcze

  • Zaktualizuj Web Deploy do wersji zawierającej poprawkę (10.0.2001).
  • Usuń wcześniejsze wersje Web Deploy z Visual Studio przed instalacją poprawionej wersji, by uniknąć konfliktów.
  • Ogranicz dostęp sieciowy do usługi Web Deploy tylko do zaufanych adresów IP; wdrażaj zasadę najmniejszych uprawnień (least privilege).
  • Monitoruj i sprawdzaj logi w poszukiwaniu nietypowych żądań HTTP.
  • Upewnij się, że wszystkie systemy Windows i IIS są aktualne i mają zainstalowane sierpniowe aktualizacje bezpieczeństwa.

Podsumowanie

Luka CVE-2025-53772 w narzędziu Web Deploy 4.0 jest poważnym zagrożeniem – umożliwia zdalne wykonanie kodu przy niskich uprawnieniach, bez potrzeby interakcji użytkownika. Firmy korzystające z Web Deploy muszą bezzwłocznie zaktualizować swoje systemy, wprowadzić zabezpieczenia sieciowe i ograniczyć uprawnienia dostępu.