Uma nova pesquisa revelou vulnerabilidades no .NET Framework que podem ser exploradas para permitir a execução remota de código em aplicações corporativas.
O WatchTowr Labs identificou a falha, chamada de “invalid cast vulnerability” e apelidada de SOAPwn, que afeta plataformas como Barracuda Service Center RMM, Ivanti Endpoint Manager (EPM) e Umbraco 8.
O impacto pode ser ainda maior, considerando o uso difundido do .NET em diversos sistemas.
Os detalhes foram apresentados pelo pesquisador Piotr Bazydlo, do WatchTowr, durante a conferência Black Hat Europe, realizada em Londres.
A vulnerabilidade permite que invasores abusem da importação de WSDL (Web Services Description Language) e dos proxies HTTP client para executar código arbitrário em produtos baseados no .NET.
Isso ocorre devido a falhas no tratamento das mensagens SOAP (Simple Object Access Protocol) nesses sistemas.
Bazydlo explica que o problema é especialmente explorável via clientes SOAP, principalmente quando esses proxies são criados dinamicamente a partir de um WSDL controlado pelo atacante.
O .NET Framework permite manipular os proxies HTTP client para usar manipuladores de sistema de arquivos, possibilitando a escrita arbitrária de arquivos ao passar URLs no formato "file://<entrada_controlada_pelo_atacante>".
Isso pode resultar na sobrescrição de arquivos existentes, aumentando o risco de comprometimento.
Em um cenário hipotético, um invasor poderia fornecer um caminho UNC, como "file://atacante.servidor/poc/poc", para que a requisição SOAP seja escrita em um compartilhamento SMB sob seu controle.
Essa ação pode permitir a captura do desafio NTLM e sua posterior quebra, facilitando ataques subsequentes.
Além disso, a pesquisa destacou uma técnica ainda mais poderosa em aplicações que geram proxies HTTP client a partir de arquivos WSDL usando a classe ServiceDescriptionImporter.
Essa classe não valida a URL do proxy gerado, permitindo que o atacante envie uma URL apontando para um WSDL malicioso.
Com isso, é possível obter execução remota de código por meio do upload de web shells ASPX, CSHTML ou scripts PowerShell.
Apesar da divulgação responsável das vulnerabilidades em março de 2024 e julho de 2025, a Microsoft optou por não corrigir o problema, alegando que se trata de um comportamento esperado do framework e recomendando que os usuários evitem processar entradas não confiáveis capazes de gerar e executar código.
Essas descobertas evidenciam como comportamentos previstos em frameworks amplamente utilizados podem se transformar em vetores de ataque, permitindo relaying NTLM ou gravação arbitrária de arquivos.
Correções já foram aplicadas em produtos específicos, como o Barracuda Service Center RMM versão 2025.1.1 (
CVE-2025-34392
, com CVSS 9,8) e no Ivanti EPM versão 2024 SU4 SR1 (
CVE-2025-13659
, CVSS 8,8).
Bazydlo conclui: “É possível fazer com que proxies SOAP direcionem as requisições para arquivos em disco em vez de enviá-las pela rede.
Na prática, isso pode levar à execução remota de código por meio do upload de web shells ou scripts PowerShell.
O impacto exato depende da aplicação que utiliza essas classes de proxy.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...