Onderzoekers hebben een nieuwe kritische blootgelegd, zero-day kwetsbaarheid in Windows, die werd geïdentificeerd als CVE-2017-8759. De fout is gemarkeerd als een hoog risico, waardoor het besturingssysteem kwetsbaar voor externe code. De fout bevindt zich binnen het .NET Framework.
De volgende versies worden beïnvloed:
- Microsoft .NET Framework 2.0 SP2
- Microsoft .NET Framework 3.5
- Microsoft .NET Framework 3.5.1
- Microsoft .NET Framework 4.5.2
- Microsoft .NET Framework 4.6
- Microsoft .NET Framework 4.6.1
- Microsoft .NET Framework 4.6.2
- Microsoft .NET Framework 4.7
Een exploit die blijkt niet succesvol kan leiden tot denial-of-service voorwaarden, onderzoekers wijzen erop.
Heeft CVE-2017-8759 is uitgebuit in Real Attacks?
In een notendop, yes. FireEye onderzoekers onlangs ontdekte een kwaadwillig vervaardigd Microsoft Office RTF-document dat de CVE-2017-8759 fout geëxploiteerd. De fout mag hackers willekeurige code te injecteren tijdens het parseren van SOAP WSDL definitie inhoud. Het onderzoeksteam analyseerde een dergelijk document waarin “aanvallers gebruikten de willekeurige code injectie te downloaden en uitvoeren van een Visual Basic-script dat bevatte PowerShell-opdrachten”.
Wat betreft de technische kant van de exploit, FireEye legt uit dat “een code injectie kwetsbaarheid de WSDL-parser module in de werkwijze PrintClientProxy. De IsValidUrl niet correct verificatie plaats indien verschaft gegevens die een sequentie bevat CRLF. Hierdoor kan een aanvaller injecteren en uitvoeren van willekeurige code. "
“Проект.doc” Document draagt Schadelijke Payload – FINSPY Surveillance Malware
De kwaadaardige document ontdekt door FireEye is “Проект.doc”, en het lijkt dat het meest waarschijnlijk gebruikt tegen Russisch sprekende slachtoffers. In het geval van de succesvolle exploitatie, het document is gedetecteerd om meerdere componenten te downloaden, waaronder een stukje malware zogenaamde FINSPY.
FINSPY ook bekend als FinFisher en WingBird is een stukje van de bekende surveillance software die kan worden gebruikt voor legale interceptie. Rekening houdend met de aard van de lading in de CVE-2017-8759 aanval, onderzoekers zijn van mening dat het een natiestaat aanval ingezet om een Russisch-sprekende entiteit richten. De meest logische doel van de hele operatie is uiteraard cyber spionage.
Is Microsoft is zich bewust van de CVE-2017-8759-Powered Nation-State Attack?
Onderzoekers contact opgenomen met Microsoft en deelden hun bevindingen. Het cyberveiligheid bedrijf heeft de openbaarmaking gecoördineerd met de release van een beveiligingspatch dat de fout verhelpt.
Een intrigerend feit is dat dit fout is de tweede zero-day kwetsbaarheid die werd ingezet in aanvallen leveren van de FINSPY payload. Een eerdere aanval met een soortgelijke aanvalsvector werd ook beschreven door dezelfde security bedrijf eerder dit jaar. Dit is niet zo verwonderlijk, gezien het feit dat het toezicht op malware is verkocht aan diverse klanten.
Dit betekent alleen dat CVE-2017-8759 werd ingezet tegen andere slachtoffers. Ook al is er geen bijzondere bewijs om dergelijke claims met betrekking tot de huidige fout te ondersteunen, dit was het geval met de zero-day FireEye ontdekt terug in april. Als de acteurs achter FINSPY verworven dit beveiligingslek uit dezelfde bron, Het is zeer waarschijnlijk dat de bron verkocht aan onder meer actoren, onderzoekers concluderen.
Andere aanval scenario's met betrekking tot de inzet van CVE-2017-8759 worden ook beschouwd te worden als mogelijk. Immers, running verouderde software is altijd een risico. Dat is de reden waarom het is zeer kritisch voor beide bedrijven en thuisgebruikers om hun systemen volledig gepatchte houden en beschermd tegen malware van alle soorten, spyware inclusive. Gebruikers wordt sterk aangeraden om te zien of hun systemen zijn aangetast door schadelijke campagnes.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter