Microsoft ha publicado el parche de vulnerabilidades denominadas “Críticas” en total 82 vulnerabilidades/CVEs, siendo el siguiente el listado de productos actualizados con sus correcciones más importantes:
• Internet Explorer, presentando un total de 7 vulnerabilidades corregidas relacionadas con ejecución remota de código.
• Microsoft Edge, 29 vulnerabilidades corregidas, 20 de ellas críticas.
• Microsoft Windows, con 38 vulnerabilidades corregidas, siendo las de mayor impacto, por ejecución remota de código, las que afectaban a los módulos NetBIOS (CVE-2017-0161), Win32k Graphics (CVE-2017-8682), Windows DHCP Server (CVE-2017-8686), Uniscribe (CVE-2017-8692), Microsoft Graphics Component (CVE-2017-8696), Windows Shell (CVE-2017-8699), Remote Desktop Virtual Host (CVE-2017-8714), Microsoft PDF (CVE-2017-8728, CVE-2017-8737) y el controlador Broadcom BCM43xx presente en las HoloLens (CVE-2017-9417).
Merece mención especial, la actualización de la pila Bluetooth, tras el reciente ataque BueBorne y la corrección de una vulnerabilidad de tipo Spoofing (CVE-2017-8628).
• Microsoft Office y Microsoft Office Services & Web Apps. Se han solucionado 14 vulnerabilidades, 10 de ellas críticas.
• Skype for Business y Lync, ejecución de código, CVE-2017-8696.
• .NET Framework, quizás la vulnerabilidad más importante (CVE-2017-8759).
• Xamarin.iOS, elevación de privilegios en Xamarin Studio para Mac (CVE-2017-8665)
• ChakraCore, motor Javascript de Edge, una ejecución remota de código (CVE-2017-8658)
• Microsoft Exchange Server, una vulnerabilidad de revelación de información (CVE-2017-11761)
• Adobe Flash Player, dos vulnerabilidades por ejecuciones remota de código que afectaban al plugin (CVE-2017-11281, CVE-2017-11282).
0-day en .NET Framework y distribución de FINSPY
En conjunción y de manera coordinada con la publicación de estos boletines, la firma de seguridad FireEye, ha hecho público el análisis de la vulnerabilidad presente en .NET Framework y que estaría siendo explotada por un grupo de atacantes, identificados por Microsoft como el grupo NEODYMIUM. Utilizarían este 0-day para la distribución de una variante del malware de espionaje conocido como FINSPY o FinFisher, mediante el envío de documentos Office (RTF, DOCX) especialmente manipulados.
La vulnerabilidad (CVE-2017-8759) estaría presente al procesar un objeto OLE embebido en el documento, en concreto un webservice WSDL a través de su moniker SOAP. Esto permitiría a un atacante remoto inyectar código arbitrario durante el proceso de parseo, elevar privilegios y como se ha demostrado, según los reportes de FireEye, ser explotado para ejecutar código remoto y controlar el sistema afectado.
Técnicamente, el problema residiría en el método PrintClientProxy y la incorrecta validación presente en la función "IsValidUrl" al recibir códigos CRLF. Esto provocaría la posterior ejecución de los comandos inyectados.
Debido a esto y a la sencillez de la vulnerabilidad, firmas como MDSec ya han mostrado públicamente como reproducir el exploit: https://www.mdsec.co.uk/2017/09/exploiting-cve-2017-8759-soap-wsdl-parser-code-injection/
"Recuerda que para la actualizacion de .NET, no olvides validar tus aplicativos o sistemas de información que utilizan/necesitan .NET evitando incidentes o fallas de los mismos."
Microsoft recomienda encarecidamente actualizar los sistemas o al menos actualizar Windows Defender Antivirus, que ya bloquea este tipo de exploit, identificado como Exploit:RTF/Fitipol.A, Behavior:Win32/Fitipol.A y Exploit:RTF/CVE-2017-8759.A.
Mas info:
https://technet.microsoft.com/en-us/security/bulletins
http://thehackernews.com/2017/09/windows-zero-day-spyware.html
Saludos,
Recuerda compartir, y disfrutar.
No hay comentarios.:
Publicar un comentario
Comenta!, Danos tu opinión o aporte. Comparte!.