Grave vulnerabilidad remota en .NET corregida en los últimos boletines de Microsoft
Como viene siendo habitual, Microsoft ha publicado su boletín mensual de actualizaciones de seguridad, y entre ellas, se ha corregido un importante 0-day para la plataforma .NET Framework, que estaba siendo explotado en una nueva campaña de malware, relacionada con el grupo NEODYMIUM y la distribución de FINSPY.
Boletín de septiembre
Microsoft ha corregido este mes en un boletín bastante numeroso, 82 vulnerabilidades/CVEs, siendo el siguiente el listado de productos actualizados con sus correciones más importantes:
- Internet Explorer, presentando un total de 7 vulnerabilidades corregidas relacionadas con ejecución remota de código.
- Microsoft Edge, 29 vulnerabilidades corregidas, 20 de ellas críticas.
- Microsoft Windows, con 38 vulnerabilidades corregidas, siendo las de mayor impacto, por ejecución remota de código, las que afectaban a los módulos NetBIOS (CVE-2017-0161), Win32k Graphics (CVE-2017-8682), Windows DHCP Server (CVE-2017-8686), Uniscribe (CVE-2017-8692), Microsoft Graphics Component (CVE-2017-8696), Windows Shell (CVE-2017-8699), Remote Desktop Virtual Host (CVE-2017-8714), Microsoft PDF (CVE-2017-8728, CVE-2017-8737) y el controlador Broadcom BCM43xx presente en las HoloLens (CVE-2017-9417).
Merece mención especial, la actualización de la pila Bluetooth, tras el reciente ataque BueBorne y la corrección de una vulnerabilidad de tipo Spoofing (CVE-2017-8628) - Microsoft Office y Microsoft Office Services & Web Apps. Se han solucionado 14 vulnerabilidades, 10 de ellas críticas.
- Skype for Business y Lync, ejecución de código, CVE-2017-8696.
- .NET Framework, quizás la vulnerabilidad más importante (CVE-2017-8759) y que desgranaremos más adelante.
- Xamarin.iOS, elevación de privilegios en Xamarin Studio para Mac (CVE-2017-8665)
- ChakraCore, motor Javascript de Edge, una ejecución remota de código (CVE-2017-8658)
- Microsoft Exchange Server, una vulnerabilidad de revelación de información (CVE-2017-11761)
- Adobe Flash Player, dos vulnerabilidades por ejecuciones remota de código que afectaban al plugin (CVE-2017-11281, CVE-2017-11282).
0-day en .NET Framework y distribución de FINSPY
La vulnerabilidad (CVE-2017-8759) estaría presente al procesar un objeto OLE embebido en el documento, en concreto un webservice WSDL a través de su moniker SOAP. Esto permitiría a un atacante remoto inyectar código arbitrario durante el proceso de parseo, elevar privilegios y como se ha demostrado, según los reportes de FireEye, ser explotado para ejecutar código remoto y controlar el sistema afectado.
Técnicamente, el problema residiría en el método PrintClientProxy y la incorrecta validación presente en la función "IsValidUrl" al recibir códigos CRLF. Esto provocaría la posterior ejecución de los comandos inyectados.
Debido a esto y a la sencillez de la vulnerabilidad, firmas como MDSec ya han mostrado públicamente como reproducir el exploit:
Desde la propia Microsoft se recomienda encarecidamente actualizar los sistemas o al menos actualizar Windows Defender Antivirus, que ya bloquea este tipo de exploit, identificado como Exploit:RTF/Fitipol.A, Behavior:Win32/Fitipol.A y Exploit:RTF/CVE-2017-8759.A. También los usuarios de Windows 10 y como nueva capa de seguridad añadida, se verán protegidos mediante Windows Defender Exploit Guard (sustituto de EMET), disponible en la próxima actualización Fall Creators Update.
Más información:
September 2017 Security Updates
Security Update Guide
FireEye Uncovers CVE-2017-8759: Zero-Day Used in the Wild to Distribute FINSPY
Exploit for CVE-2017-8759 detected and neutralized
Exploiting CVE-2017-8759: SOAP WSDL Parser Code Injection
José Mesa Orihuela
@jsmesa
Via: unaaldia.hispasec.com
Grave vulnerabilidad remota en .NET corregida en los últimos boletines de Microsoft
Reviewed by Zion3R
on
7:10
Rating:
Reviewed by Zion3R
on
7:10
Rating:
