Source : ZDI (Zero Day Initiative) — billet de recherche décrivant la découverte et l’exploitation de CVE-2025-5037, une vulnérabilité de confusion de type dans Autodesk Revit 2025 qui permet une exécution de code à distance (RCE) via des fichiers RFA spécialement conçus.

La faille provient du désérialiseur de Revit, qui traite 4 611 types d’objets. En manipulant l’index de classe dans les données sérialisées du flux Global\Latest d’un fichier OLE Compound, un attaquant peut amener l’application à traiter un objet std::pair (index de classe 0xc4) comme une classe munie d’un pointeur de vtable, ouvrant la voie à l’exécution de code.

L’exploitation met à profit des objets AString (index 0x1f) pour contrôler le contenu mémoire, introduit une weird machine basée sur une boucle pour un stack pivot sur Windows 11 x64, et assemble une chaîne ROP en s’appuyant sur des gadgets issus du module non-ASLR RWUXThemeSU2015.dll. Les techniques incluent la modification génétique de gadgets via manipulation de pointeurs de fonction, des méthodes de chargement de registres adaptées à la convention d’appel Windows x64, jusqu’à l’appel de ucrtbase!system pour obtenir une exécution arbitraire.

Les auteurs montrent comment une vulnérabilité de supply chain dans le plugin Axis Communications pourrait permettre de distribuer à grande échelle des fichiers RFA malveillants, menant à une RCE en un clic. L’étude documente également le format OLE/compound des fichiers RFA, la compression gzip avec codes correcteurs d’erreurs, et introduit l’outil CompoundFileTool pour l’analyse des OLE compound files.

TTPs clés 🧩:

  • Vecteur: fichiers RFA malveillants (OLE Compound, flux Global\Latest)
  • Technique de vulnérabilité: confusion de type dans le désérialiseur
  • Exploitation: contrôle mémoire via AString, stack pivot, ROP, ASLR bypass via module non aléatoire RWUXThemeSU2015.dll, appel à ucrtbase!system
  • Approches: chasse aux gadgets, manipulation de pointeurs de fonction, reverse engineering du format RFA
  • Plateforme/produit: Autodesk Revit 2025 sur Windows 11 x64; distribution potentielle via le plugin Axis Communications

Il s’agit d’une publication de recherche technique visant à documenter la vulnérabilité et une chaîne d’exploitation complète.

🔗 Source originale : https://www.thezdi.com/blog/2025/10/6/crafting-a-full-exploit-rce-from-a-crash-in-autodesk-revit-rfa-file-parsing

🖴 Archive : https://web.archive.org/web/20251008161447/https://www.zerodayinitiative.com/blog/2025/10/6/crafting-a-full-exploit-rce-from-a-crash-in-autodesk-revit-rfa-file-parsing