Pesquisadores descobriram uma nova crítica, vulnerabilidade de dia zero no Windows, que foi identificado como CVE-2017-8759. A falha é sinalizada como de alto risco, tornando o sistema operacional vulnerável à execução remota de código. A falha reside no .NET Framework.
As seguintes versões são afetadas:
- Microsoft .NET Framework 2.0 SP2
- Microsoft .NET Framework 3.5
- Microsoft .NET Framework 3.5.1
- Microsoft .NET Framework 4.5.2
- Microsoft .NET Framework 4.6
- Microsoft .NET Framework 4.6.1
- Microsoft .NET Framework 4.6.2
- Microsoft .NET Framework 4.7
Uma exploração que não tenha êxito pode levar a condições de negação de serviço, pesquisadores apontam.
O CVE-2017-8759 foi explorado em ataques reais?
Em poucas palavras, sim. Pesquisadores do FireEye detectaram recentemente um documento RTF do Microsoft Office criado com códigos maliciosos que explorava a falha CVE-2017-8759. A falha permitiu que hackers injetassem código arbitrário durante a análise do conteúdo da definição do SOAP WSDL. A equipe de pesquisa analisou um documento em que “os atacantes usavam a injeção arbitrária de código para baixar e executar um script do Visual Basic que continha comandos do PowerShell”.
Quanto ao lado técnico da exploração, O FireEye explica que “existe uma vulnerabilidade de injeção de código no módulo analisador WSDL dentro do método PrintClientProxy. O IsValidUrl não executa a validação correta se os dados fornecidos contiverem uma sequência CRLF. Isso permite que um invasor injete e execute código arbitrário. “
Documento “Проект.doc” carrega carga maliciosa – FINSPY Surveillance Malware
O documento malicioso detectado pelo FireEye é "Проект.doc", e parece que foi provavelmente usado contra vítimas de língua russa. Em caso de exploração bem sucedida, o documento foi detectado para baixar vários componentes, incluindo um malware conhecido como FINSPY.
FINSPY também conhecido como FinFisher e WingBird é um software de vigilância bem conhecido que pode ser usado para interceptação legal. Tendo em mente o tipo de carga útil no ataque CVE-2017-8759, pesquisadores acreditam que foi um ataque de um Estado-nação para atingir uma entidade de língua russa. O objetivo mais lógico de toda a operação é obviamente a espionagem cibernética.
A Microsoft está ciente do ataque do estado-nação impulsionado pelo CVE-2017-8759-Powered?
Os pesquisadores contataram a Microsoft e compartilharam suas descobertas. A empresa de segurança cibernética coordenou a divulgação pública com o lançamento de um patch de segurança que corrige a falha.
Um fato intrigante aqui é que essa falha é a segunda vulnerabilidade de dia zero que foi implantada em ataques que entregam a carga FINSPY. Um ataque anterior com um vetor de ataque semelhante também foi divulgado pela mesma empresa de segurança no início deste ano. Isso não é tão surpreendente, considerando o fato de que o malware de vigilância foi vendido a vários clientes.
Isso significa apenas que CVE-2017-8759 foi alavancado contra outras vítimas. Mesmo que não haja nenhuma evidência particular para apoiar tais alegações sobre a falha atual, este foi o caso com o FireEye de dia zero descoberto em abril. Se os atores por trás do FINSPY adquiriram esta vulnerabilidade da mesma fonte, é muito provável que a fonte o tenha vendido a outros atores, pesquisadores concluir.
Outros cenários de ataque envolvendo a implantação de CVE-2017-8759 também devem ser considerados possíveis. Depois de tudo, executar software desatualizado é sempre um risco. É por isso que é altamente crítico para empresas e usuários domésticos manter seus sistemas totalmente corrigidos e protegidos contra malware de todos os tipos, spyware inclusive. Os usuários são fortemente aconselhados a verificar se seus sistemas foram afetados por campanhas maliciosas.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter