Les chercheurs ont découvert une nouvelle critique, vulnérabilité zero-day dans Windows, qui a été identifié comme CVE-2017-8759. Le défaut est signalé comme un risque élevé, rendant le système d'exploitation vulnérable à l'exécution de code à distance. La faille réside dans le .NET Framework.
Les versions suivantes sont affectées:
- Microsoft .NET Framework 2.0 SP2
- Microsoft .NET Framework 3.5
- Microsoft .NET Framework 3.5.1
- Microsoft .NET Framework 4.5.2
- Microsoft .NET Framework 4.6
- Microsoft .NET Framework 4.6.1
- Microsoft .NET Framework 4.6.2
- Microsoft .NET Framework 4.7
Un exploit qui se révèle infructueuse peut conduire à des conditions de déni de service, chercheurs soulignent.
A CVE-2017-8759 exploité en attaques réelles?
En un mot, oui. chercheurs FireEye a récemment détecté un document Microsoft Office RTF construit de manière malveillante qui a exploité la faille CVE-2017-8759. Les pirates a permis de défaut d'injecter du code arbitraire lors de l'analyse du contenu de la définition SOAP WSDL. L'équipe de recherche a analysé un document dans lequel « assaillants ont utilisé l'injection de code arbitraire pour télécharger et exécuter un script Visual Basic qui contient les commandes PowerShell ».
En ce qui concerne le côté technique de l'exploit, FireEye explique que « une vulnérabilité d'injection de code existe dans le module d'analyseur WSDL dans la méthode PrintClientProxy. Le IsValidUrl ne fonctionne pas correcte si la validation des données fournies qui contiennent une séquence de CRLF. Cela permet à un attaquant d'injecter et exécuter du code arbitraire. "
Document « Проект.doc » Carries Payload Malicious – FINSPY Surveillance Malware
Le document malveillant détecté par FireEye est « Проект.doc », et il semble qu'il a été très probablement utilisé contre les victimes russophones. En cas de l 'exploitation réussie, le document a été détecté pour télécharger plusieurs composants, comprenant une pièce de logiciel malveillant connu sous le nom FINSPY.
FINSPY également connu sous le nom finfisher et WingBird est un logiciel de surveillance bien connue qui peut être utilisé pour l'interception légale. Ayant à l'esprit le type de charge utile dans l'attaque CVE-2017-8759, les chercheurs croient que c'était une attaque État-nation déployée pour cibler une entité russophone. Le but le plus logique de l'opération est évidemment cyber-espionnage.
Microsoft est conscient de la CVE-2017-8759-Powered Etat-nation d'attaque?
Les chercheurs ont contacté Microsoft et ont partagé leurs conclusions. La société de cybersécurité a coordonné la divulgation publique avec la publication d'un correctif de sécurité qui corrige la faille.
Un fait intéressant est que cette faille est la deuxième vulnérabilité zéro jour qui a été déployé dans des attaques fournissant la charge utile FINSPY. Une attaque précédente avec un vecteur d'attaque similaire a également été divulguée par la même société de sécurité plus tôt cette année. Ce n'est pas surprenant, compte tenu du fait que le logiciel malveillant de surveillance a été vendu à divers clients.
Cela signifie seulement que la référence CVE-2017-8759 a été contre d'autres victimes à profit. Bien qu'il n'y ait aucune preuve particulière à l'appui de ces allégations concernant le défaut actuel, ce fut le cas avec le FireEye zéro jour découvert en Avril. Si les acteurs derrière FINSPY acquis cette vulnérabilité de la même source, il est très probable que la source a vendu à d'autres acteurs, des chercheurs conclure.
D'autres scénarios d'attaque impliquant le déploiement de CVE-2017-8759 sont également à considérer comme possible. Après tout, l'exécution du logiciel obsolète est toujours un risque. Voilà pourquoi il est très important pour les entreprises et les utilisateurs à domicile pour garder leurs systèmes entièrement patché et protégé contre les logiciels malveillants de tous les types, spyware inclus. Il est fortement conseillé de voir si leurs systèmes ont été touchés par des campagnes malveillantes.
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: