I ricercatori hanno scoperto una nuova critica, vulnerabilità zero-day in Windows, che è stato identificato come CVE-2.017-8.759. Il difetto è contrassegnato come ad alto rischio, rendendo il sistema operativo vulnerabile a esecuzione di codice remoto. Il difetto risiede all'interno del .NET Framework.
Le seguenti versioni sono interessate:
- Microsoft .NET Framework 2.0 SP2
- Microsoft .NET Framework 3.5
- Microsoft .NET Framework 3.5.1
- Microsoft .NET Framework 4.5.2
- Microsoft .NET Framework 4.6
- Microsoft .NET Framework 4.6.1
- Microsoft .NET Framework 4.6.2
- Microsoft .NET Framework 4.7
Un exploit che si rivela infruttuoso può portare a condizioni di denial-of-service, ricercatori sottolineano.
Ha CVE-2017-8759 stata sfruttata in attacchi veri?
In poche parole, sì. ricercatori FireEye recentemente rilevato un documento di Microsoft Office RTF pericoloso che sfruttava la falla CVE-2.017-8.759. Gli hacker difetto permesso di iniettare codice arbitrario durante l'analisi del contenuto di definizione SOAP WSDL. Il gruppo di ricerca ha analizzato un tale documento in cui “gli aggressori usato l'iniezione di codice arbitrario di scaricare ed eseguire uno script Visual Basic che conteneva i comandi PowerShell”.
Per quanto riguarda il lato tecnico del exploit, FireEye spiega che “una vulnerabilità iniezione di codice esistente nel modulo WSDL parser all'interno del metodo PrintClientProxy. L'IsValidUrl non esegue una convalida corretta se fornito dati che contiene una sequenza CRLF. Ciò consente a un aggressore di iniettare ed eseguire codice arbitrario. "
“Проект.doc” Documento Porta payload maligno – FINSPY Sorveglianza Malware
Il documento dannoso rilevato da FireEye è “Проект.doc”, e sembra che è stato probabilmente utilizzato contro le vittime di lingua russa. In caso di s sfruttamento successo, il documento è stato rilevato per scaricare più componenti, tra cui un pezzo di malware noto come FINSPY.
FINSPY conosciuto anche come FinFisher e WingBird è un pezzo di software di sorveglianza noto che può essere utilizzato per intercettazione legale. Avendo in mente il tipo di payload in attacco CVE-2017-8759, ricercatori ritengono che si trattava di un attacco di nazione-stato dispiegato per indirizzare un'entità di lingua russa. Lo scopo più logica di tutta l'operazione è ovviamente spionaggio.
È Microsoft Consapevole della CVE-2017-8759-Powered Stato-Nazione attacco?
I ricercatori hanno contattato Microsoft e condiviso le loro scoperte. La società di sicurezza informatica ha coordinato la comunicazione al pubblico con il rilascio di una patch di sicurezza che corregge il difetto.
Un fatto interessante è che questo difetto è la seconda vulnerabilità zero-day che è stato distribuito negli attacchi realizzano la payload FINSPY. Un precedente attacco con un simile vettore di attacco è stato reso noto anche dalla stessa società di sicurezza all'inizio di quest'anno. Questo non è così sorprendente, considerando il fatto che il malware di sorveglianza è stato venduto a vari clienti.
Questo significa solo che CVE-2017-8759 è stato sfruttato nei confronti di altre vittime. Anche se non ci sono prove a sostegno di tali particolari rivendicazioni riguardanti il difetto corrente, questo è stato il caso con la zero-day FireEye scoperto di nuovo nel mese di aprile. Se gli attori dietro FINSPY acquisito questa vulnerabilità dalla stessa fonte, è molto probabile che fonte venduto presso altri attori, ricercatori concludere.
Altri scenari di attacco che comportano l'impiego di CVE-2017-8759 sono da considerarsi come possibile. Dopotutto, l'esecuzione di software obsoleto è sempre un rischio. Questo è il motivo per cui è molto critica per entrambe le aziende e gli utenti domestici per mantenere i loro sistemi completamente rattoppato e protetta contro il malware di tutti i tipi, spyware inclusiva. Gli utenti sono invitati a vedere se i loro sistemi sono stati colpiti da campagne dannosi.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: