Cyber Security – Substituindo o BinaryFormatter no .NET

Cyber Security – BinaryFormatter: Um Risco à Segurança

O código fonte do .NET está em constante evolução e sua equipe de desenvolvimento está atenta as questões de Cyber Security, no entanto, classes legadas como o BinaryFormatter continuam a apresentar vulnerabilidades exploráveis por atacantes. Nesta análise, discutiremos a vulnerabilidade crítica associada ao BinaryFormatter registrada pelos códigos CVE-2023-32737, CWE-502, e CA2300 (você pode ler mais nos links), destacando o que são esses problemas, como eles impactam a segurança, e as melhores práticas para mitigá-los.

O que é o BinaryFormatter?

O BinaryFormatter é uma classe do .NET Framework utilizada para serializar e desserializar objetos em formato binário, facilitando o armazenamento ou a transferência de dados complexos. No entanto, devido à forma como o BinaryFormatter trata dados durante a desserialização, ele pode ser suscetível a ataques de desserialização inseguros, onde entradas maliciosas podem executar códigos arbitrários e comprometer a segurança da aplicação.

Cyber Security – Entendendo os Códigos de Vulnerabilidade

CVE-2023-32737: Código de Vulnerabilidade Comum

O CVE-2023-32737 é um identificador específico para uma vulnerabilidade do tipo “desserialização insegura” encontrada no BinaryFormatter. Ele indica que a manipulação de dados serializados possibilita a exploração da classe, permitindo que códigos realizem ações inesperadas e potencialmente maliciosas no ambiente de execução da aplicação.

CWE-502: Categoria de Fraquezas

O CWE-502 refere-se à categoria “Desserialização de Dados Não Confiáveis”. Essa classificação indica que uma vulnerabilidade ocorre quando dados maliciosos são desserializados, o que pode desencadear execuções de código indesejadas. Em outras palavras, o processamento de dados de entrada potencialmente perigosos pode ameaçar a segurança do sistema e comprometer sua integridade.

CA2300: Análise de Código para Segurança

O CA2300 recomenda evitar o processamento direto de dados não confiáveis, garantindo maior segurança no sistema. Esse aviso serve para alertar desenvolvedores durante o processo de construção do software, sinalizando o uso de práticas inseguras, como a desserialização direta de dados de fontes desconhecidas.

Impacto da Vulnerabilidade do BinaryFormatter

Ao utilizar o BinaryFormatter, aplicações correm o risco de receber objetos binários maliciosos que, durante a desserialização, podem executar código indesejado. Essa vulnerabilidade representa uma séria ameaça, pois permite a elevação de privilégios ou a execução de comandos remotamente, comprometendo a integridade do sistema.

Por ser uma biblioteca amplamente utilizada e inclusa no .NET Framework (não confundir com .NET Core, onde o uso do BinaryFormatter já é desaconselhado e possui suporte limitado), muitos sistemas podem ser alvos potenciais, especialmente os que interagem com dados de fontes externas.

Cyber Security – Quatro formas de mitigar o problema do BinaryFormatter

1. Substituindo o BinaryFormatter

• A Microsoft já recomenda que o BinaryFormatter seja evitado em novos projetos, incentivando o uso de alternativas mais seguras, como o System.Text.Json, XmlSerializer, ou DataContractSerializer.

2. Verificar a Origem dos Dados

• Garanta que dados serializados são provenientes de fontes confiáveis. Mesmo ao utilizar métodos alternativos de serialização, é importante controlar e garantir a confiabilidade da origem dos dados.

3. Cyber Security – Atualizar o .NET e Aplicar Patches de Segurança

• A Microsoft lança periodicamente atualizações e patches para corrigir vulnerabilidades. Assegure-se de que o ambiente de desenvolvimento e os aplicativos estejam com as versões mais recentes do .NET Framework.

4. Realizar Análise Estática do Código

• Ferramentas de análise estática, como o Code Analysis for .NET (que fornece o alerta CA2300), podem identificar o uso de BinaryFormatter e sugerir mudanças antes da implantação da aplicação.

Alternativas Seguras para Serialização

Como parte das melhores práticas, os desenvolvedores podem considerar o uso de serializadores seguros e específicos para os dados e cenários em questão. Algumas das alternativas recomendadas incluem:

• System.Text.Json: Uma alternativa leve e segura para a serialização JSON.
• DataContractSerializer: Indicado para cenários de comunicação entre serviços, pois oferece mais controle sobre o que é serializado.
• Protobuf: Uma alternativa altamente eficiente e segura, principalmente para comunicação entre microserviços.
• NrbfDecoder: Uma alternativa voltada para a leitura e interpretação de objetos binários que mantém compatibilidade com o BinaryFormatter. É usada para decodificar o formato NRBF (.NET Remoting Binary Format), que permite manipular dados binários sem os riscos de execução de código presentes no BinaryFormatter. Embora não seja uma substituição direta, o NrbfDecoder pode ajudar a migrar dados legados ou analisar binários com segurança. Saiba mais sobre o NrbfDecoder no site da Microsoft.

Cyber Security – Substituindo o BinaryFormatter com o NrbfDecoder

Imagine o cenário onde recebemos via API, dados formatados usando o BinaryFormatter, ou seja, não temos domínio sobre o client mas apenas da API que deserializa esses dados tambem usando o BinaryFormatter.

Este caso categoriza o problema de segurança pois podemos receber um código malicioso entre esses dados. Como podemos resolver nosso lado sem quebrar o contrato com os consumidores de nossas APIs?

Uma opção é usar o NrbfDecoder, uma biblioteca disponível no NuGet. Na data de escrita deste artigo, ela ainda permanece em Release Candidate, embora a Microsoft já a considere em “produção”. Isso ocorre porque sua API ainda deve passar por uma grande atualização.

Vamos explorar abaixo uma solução de desserialização com o NrbfDecoder mencionado anteriormente.

Considere que a classe abaixo foi serializada com BinaryFormatter e recebemos uma MemoryStream contendo esta classe.

public class Employee
{
 public int Id { get; set; }
 public List<string> Roles { get; set; }
}

Vamos ao codigo que desserializa:

...
// Valida se a MemoryStream pode ser desserializada
if (NrbfDecoder.StartsWithPayloadHeader(memoryStream))
{
 memoryStream.Position = 0;
 // Decodifica a instancia de uma classe que não seja um Array ou tipo primitivo
 ClassRecord decodedClass = NrbfDecoder.DecodeClassRecord(memoryStream);
 
 // Iterando sobre as propriedades para fazer bind pelo nome
 foreach (var memberName in decodedClass.MemberNames)
 {
  if (memberName.Equals(nameof(employee.Id))
  {
   // Lidando com tipos primitivos
   employee.Id = decodedClass.GetInt32(memberName);
  }
  
  if (memberName.Equals(nameof(employee.Roles))
  {
   var complexDecoded = decodedClass.GetClassRecord(memberName);
   
   // Identifico o tipo para trata-lo corretamente
   if (complexDecoded.TypeName.FullName.Contains("List[[System.String]]"))
   {
    var listDecoded = complexDecoded.GetArrayRecord("_items")
                    .GetArray(expectedArrayType: typeof(string));
    
    foreach (var item in listDecoded)
    {
     // Se for tipo primitivo
     if (item is not ClassRecord)
     {
      employee.Roles.Add(item);
     }
     
     // Caso não seja tipo primitivo aqui seguimos decodificando as
     // classes ou arrays conforme fizemos anteriormente.
    }
   }
  }
 }
 
 // Ao final temos uma instancia da classe Employee desserializada
 

Conclusão

Embora o BinaryFormatter seja uma ferramenta poderosa no .NET, ele se tornou uma fonte de risco devido à sua suscetibilidade à desserialização insegura, dessa forma a vulnerabilidade identificada pelo CVE-2023-32737 e categorizada em CWE-502 destaca a necessidade de adotar práticas seguras de serialização e controle de dados. Por isso, a Microsoft e a comunidade .NET recomendam substituir o BinaryFormatter por métodos de serialização mais seguros, protegendo assim as aplicações e prevenindo que explorações comprometam a integridade do sistema.