Los investigadores han descubierto una nueva crítica, vulnerabilidad de día cero en Windows, que se identificó como CVE-2.017-8.759. El error se marca como de alto riesgo, haciendo que el sistema operativo vulnerable a la ejecución remota de código. La falla reside dentro del marco .NET.
Las siguientes versiones están afectadas:
- NET Framework microsoft 2.0 SP2
- NET Framework microsoft 3.5
- NET Framework microsoft 3.5.1
- NET Framework microsoft 4.5.2
- NET Framework microsoft 4.6
- NET Framework microsoft 4.6.1
- NET Framework microsoft 4.6.2
- NET Framework microsoft 4.7
Un exploit que resulta infructuosa puede conducir a condiciones de denegación de servicio, investigadores señalan.
Ha CVE-2.017 hasta 8.759 ha explotado en ataques reales?
En una palabra, sí. FireEye investigadores detectaron recientemente un documento de Microsoft Office RTF malicioso que explota la falla CVE-2017-8759. Los hackers de defectos permitido inyectar código arbitrario durante el análisis de contenidos de definición de SOAP WSDL. El equipo de investigación analizó un documento de este tipo, donde “los atacantes utilizan la inyección de código arbitrario para descargar y ejecutar un script de Visual Basic que contiene los comandos de PowerShell”.
En cuanto a la parte técnica de la explotación, FireEye explica que “existe una vulnerabilidad de inyección de código en el módulo analizador WSDL dentro del método PrintClientProxy. El IsValidUrl no realiza una validación correcta si se proporcionan datos que contienen una secuencia CRLF. Esto permite a un atacante inyectar y ejecutar código arbitrario. "
“Проект.doc” Documento lleva carga maliciosa – FINSPY de Vigilancia de Malware
El documento malicioso detectado por FireEye es “Проект.doc”, y parece que ha sido más se utiliza contra las víctimas de habla rusa. En caso de s explotación exitosa, el documento ha sido detectado descargar múltiples componentes, incluyendo una pieza de malware conocido como FINSPY.
FINSPY también conocido como FinFisher y WingBird es una pieza de software de vigilancia conocido que puede ser utilizado para la interceptación legal. Teniendo en cuenta el tipo de carga útil en el ataque CVE-2017-8759, los investigadores creen que se trataba de un ataque al Estado-nación desplegado para apuntar a una entidad de habla rusa. El propósito más lógica de toda la operación es, obviamente, el ciberespionaje.
Microsoft es consciente de la Nación-Estado-Powered Ataque CVE-2.017-8759?
Los investigadores contactaron Microsoft y compartieron sus hallazgos. La compañía de seguridad cibernética ha coordinado la divulgación pública con el lanzamiento de un parche de seguridad que corrige el defecto.
Un hecho interesante es que este defecto es la segunda vulnerabilidad de día cero que se ha implementado en la entrega de la carga útil ataques FINSPY. Un ataque anterior con un vector de ataque similar también se dio a conocer por la misma empresa de seguridad a principios de este año. Esto no es tan sorprendente, teniendo en cuenta el hecho de que el malware de vigilancia ha sido vendido a varios clientes.
Esto sólo significa que CVE-2017-8759 fue impulsada contra otras víctimas. A pesar de que no hay pruebas concretas para apoyar tales afirmaciones con respecto a la falla de corriente, este fue el caso con el día cero FireEye descubrió en abril. Si los actores detrás de FINSPY adquirieron esta vulnerabilidad de la misma fuente, es muy probable que la fuente de la vendió a otros agentes, investigadores concluir.
Otros escenarios de ataque que implican el despliegue de CVE-2017-8759 son también para ser considerados como sea posible. Después de todo, ejecutar software obsoleto es siempre un riesgo. Es por eso que es muy crítico para las empresas y los usuarios domésticos para mantener sus sistemas totalmente parcheado y protegido contra el malware de todos los tipos, software espía incluido. Se recomienda encarecidamente a los usuarios para ver si sus sistemas se han visto afectados por las campañas maliciosas.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter