Forskere har afsløret en ny kritisk, zero-day sårbarhed i Windows, der blev identificeret som CVE-2017-8759. Fejlen er markeret som høj risiko, gør operativsystemet sårbar over for fjernkørsel af programkode. Fejlen har bopæl inden for .NET Framework.
Følgende versioner der er berørt:
- Microsoft .NET Framework 2.0 SP2
- Microsoft .NET Framework 3.5
- Microsoft .NET Framework 3.5.1
- Microsoft .NET Framework 4.5.2
- Microsoft .NET Framework 4.6
- Microsoft .NET Framework 4.6.1
- Microsoft .NET Framework 4.6.2
- Microsoft .NET Framework 4.7
En udnytte det viser sig forgæves kan medføre denial-of-service-tilstande, Forskerne påpeger.
Har CVE-2017-8759 blevet udnyttet i Rigtige angreb?
I en nøddeskal, Ja. FireEye forskere for nylig opdaget et skadeligt Microsoft Office RTF-dokument, der udnyttede CVE-2017-8759 fejl. Fejlen tillod hackere at indsprøjte vilkårlig kode under parsing af SOAP WSDL definition indhold. Forskerholdet analyserede et sådant dokument, hvor ”angribere brugte vilkårlig kode injektion for at downloade og køre en Visual Basic script, der indeholdt PowerShell kommandoer”.
Med hensyn til den tekniske side af udnytte, FireEye forklarer, at ”en kode injektion sårbarhed i WSDL-parser modul i PrintClientProxy metoden. Den IsValidUrl udfører ikke korrekt validering hvis billede data, der indeholder en CRLF sekvens. Dette gør det muligt for en angriber at indsprøjte og udføre vilkårlig kode. "
”Проект.doc” Dokument Bærer Ondsindet Payload – FINSPY Surveillance Malware
Den ondsindede dokument opdaget af FireEye er ”Проект.doc”, og det ser ud det har været mest sandsynligt brugt mod russiske ofre taler. I tilfælde af s vellykket udnyttelse, dokumentet er blevet opdaget at hente flere komponenter, herunder et stykke malware kendt som FINSPY.
FINSPY også kendt som FinFisher og WingBird er et stykke velkendt software overvågning, som kan bruges til lovlig aflytning. Under hensyntagen til den type nyttelast i CVE-2017-8759 angreb, forskere mener, at det var en nationalstat angreb indsat for at målrette en russisktalende enhed. Den mest logiske formål med hele operationen er naturligvis cyber spionage.
Er Microsoft er klar over CVE-2017-8759-Powered nationalstat angreb?
Forskerne kontaktede Microsoft og delte deres resultater. Den cybersikkerhed Virksomheden har koordineret offentliggørelse med udgivelsen af en sikkerhedsrettelse, der løser fejlen.
En spændende faktum her er, at denne fejl er den anden zero-day sårbarhed, der blev indsat i angrebene leverer den FINSPY nyttelast. En tidligere angreb med et lignende angreb vektor blev også beskrevet af den samme vagtselskab tidligere på året. Det er ikke så overraskende, betragtning af den kendsgerning, at malware overvågning er blevet solgt til forskellige kunder.
Det betyder blot, at CVE-2017-8759 blev gearede mod andre ofre. Selv om der ikke er nogen særlig dokumentation til støtte for sådanne krav vedrørende den aktuelle fejl, dette var tilfældet med den zero-day FireEye afsløret tilbage i april. Hvis aktørerne bag FINSPY købte denne sårbarhed fra den samme kilde, Det er meget sandsynligt, at kilden solgte den til yderligere aktører, forskere konkludere.
Andre manipulationsscenarier involverer indsættelse af CVE-2017-8759 også skal betragtes som muligt. Efter alt, kører forældet software er altid en risiko. Det er derfor, det er meget kritisk for både virksomheder og private brugere til at holde deres systemer fuldt patchet og beskyttes mod malware af alle typer, spyware inklusive. Brugere rådes kraftigt til at se, om deres systemer er blevet påvirket af ondsindede kampagner.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter