IIS WebDeploy の RCE 脆弱性 CVE-2025-53772:PoC エクスプロイトが登場

IIS WebDeploy RCE Vulnerability Gets Public PoC

2025/09/03 gbhackers — Microsoft の IIS Web Deploy ツールチェーンに発見された、リモート・コード実行 (RCE) の脆弱性の PoC エクスプロイトが公開された。この脆弱性 CVE-2025-53772 は、2025年8月の Patch Tuesday で修正されたものだが、新たな展開が注目を集めている。この脆弱性は、”msdeployagentservice” および “msdeploy.axd” エンドポイントにおける安全ではないデシリアライズ処理に存在し、認証された攻撃者に対して、脆弱な Web サーバ上での任意のコード実行を許す可能性がある。

IIS Web Deploy (msdeploy) は、Web アプリケーション/IIS コンフィグ/関連リソースをパッケージ化し、複数の環境で同期させるために設計された、Microsoft のツール・セットである。

“msdeploy” がサポートする2つの主要なデプロイメント・パスは、”/msdeploy.axd” HTTP(S) エンドポイント経由でアクセスする Web Management Service (WMSvc) と、Web Deploy Agent Service (MsDepSvc) である。

これらの機能により、シームレスなアプリケーションのロールアウトとロールバックが可能になるが、入力検証が不十分な場合には、サービスの攻撃対象領域が拡大する可能性もある。

この脆弱性は、デシリアライズされた HTTP ヘッダー値の改竄などに起因する。具体的に言うと、Web Deploy は “MSDeploy.SyncOptions” ヘッダーを読み取ることで、GZip 圧縮され Base64 でエンコードされた BLOB が得られると想定している。

このヘッダーの内部的な処理として、Base64 デコード/GZip 解凍/.NET の BinaryFormatter を使用したデシリアライズが行われる。

BinaryFormatter はシリアライズされたストリーム内に存在する、すべてのオブジェクトをインスタンス化するため、攻撃者が制御するペイロードにより、サーバにとって望ましくないコマンドの実行が可能となる。

脆弱性の技術的な詳細

MSDeploy.SyncOptions という名前のヘッダーが厳密な検証を欠いた状態で、このメソッドに渡されると、Web Deploy サービスの認証を得られる攻撃者にとって、その悪用は容易となる。

このエクスプロイト・チェーンは、細工されシリアライズされたオブジェクト・グラフ (通常はデリゲートを使用) を利用し、System.Diagnostics.Process.Start を呼び出して “cmd.exe /c calc” などのコマンドを実行する。

概念実証と影響

公開されている GitHub の Gist では、SortedSet デリゲート・チェーンを構築するための、最小限の C# ペイロード・ジェネレーターが示されている。攻撃者は、シリアライズ/GZip 圧縮/Base64 エンコードを行った後に、HTTP POST の SyncOptions ヘッダーにペイロードを組み込み、”/msdeploy.axd” に送信する。

標的となるホストが、このリクエストを受け入れると、サーバは埋め込まれたコマンドを解凍/デシリアライズ/実行する。

有効な資格情報を持つ攻撃者であれば、バックドアの設置/他システムへの横移動/機密データの窃取が可能となる。ちなみに、それらの資格情報の多くは、データ侵害やミスコンフィグにより取得される。

多くの企業において、Web Deploy が自動デプロイで利用されている状況を考えると、侵害された後のクリーンアップには、長い時間を要するという可能性が示唆される。

Microsoft は、脆弱性 CVE-2025-53772 の深刻度を 8.8 と評価し、最新の Web Deploy アップデートを直ちに適用するよう、管理者たちに勧告している。パッチが広く展開されるまでの間、ユーザー組織としては、以下の対策を講じる必要がある。

  • IP 許可リストまたは VPN トンネルを介して、Web Deploy エンドポイントへのアクセスを制限する。
  • “msdeploy” サービスで使用されるサービス・アカウントに、最小権限を適用する。
  • IIS ログを監視し、SyncOptions ヘッダーの異常な使用を検出する。
  • 不要な場合は、MsDepSvc および “/msdeploy.axd” ハンドラの無効化を検討する。
  • 可能な場合は、BinaryFormatter の代わりに、安全なデシリアライゼーション・ライブラリまたは、カスタム検証を利用する。

リスクの高い環境においては、Web Deploy ホストを、専用のデプロイメント拠点の背後に隔離することで、侵害後のラテラル・ムーブメントを最小限に抑えることが可能だ。

脆弱性 CVE-2025-53772 が示すのは、安全でないデシリアライゼーションの永続的な危険性であり、また、デプロイメント・パイプラインにおける厳格な入力検証の必要性である。

ユーザー組織にとって必要なことは、Web Deploy インフラにパッチを適用し、この深刻な RCE の脅威に対して迅速に行動することだ。

この脆弱性 CVE-2025-53772 は、IIS Web Deploy が内部で利用しているデシリアライズ処理に原因があるようです。本来であれば、外部入力は厳しく検証されるべきなのですが、”MSDeploy.SyncOptions” ヘッダーを通じて受け取ったデータが、そのまま BinaryFormatter に渡されてしまうため、細工されたオブジェクトの送り込みが可能な状態になっていたと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Microsoft IIS で検索も、ご参照ください。