domingo, 24 de septiembre de 2017

FinFisher ataca de nuevo, ahora con posible apoyo de ISP's

FinFisher (o FinSpy) es un spyware diseñado para ser usado por gobiernos para llevar a cabo labores de vigilancia. Esta última campaña parece apoyarse en los proveedores de servicio, según el último aviso de la firma antivirus ESET.




FinFisher no es un spyware especial. Al menos en el sentido técnico. Captura en directo de webcams, micrófonos, pulsaciones de teclado, extracción de archivos...No tiene funcionalidades extravagantes que otros spywares no tengan. Lo que llama la atención de FinFisher sobre los demás es lo controvertido de sus métodos de distribución. Métodos como spearphishing (phishing dirigido, en este caso para introducir un troyano), instalación manual en dispositivos accesibles físicamente, exploits 0-day y ataques watering hole (se compromete una web confiable para infectar a visitantes específicos).

Esta vez la particularidad viene debida a que, según la investigación llevada a cabo por ESET, seha detectado la distribución de nuevas variantes de FinSpy a nivel del proveedor de servicio de Internet (ISP) utilizado por el usuario, a diferencia de los anteriores métodos comentados. 

Se pudo determinar que aquellos usuarios que buscaban, por ejemplo, aplicaciones de mensajería segura como Threema, o de cifrado de volúmenes o ficheros, como TrueCrypt, eran internamente redirigidos mediante redirecciones de tipo 307 a descargas de esta variante de spyware. Por tanto, se estaba realizando un Man-In-The-Middle a un nivel mucho más bajo de lo habitual.

Esta capacidad de despliegue, sólo posible para determinados países y sus operadores, reafirma y parece validar los datos aportados por una reciente revelación en Wikileaks, sobre FinFly ISP, o la distribución de FinFisher mediante ISPs cooperantes que introducen este comportamiento en su servicio.

Descripción del servicio FinFLY ISP


Carlos Ledesma
cledesma@hispasec.com


Más información:
New FinFisher surveillance campaigns: Internet providers involved?





sábado, 23 de septiembre de 2017

Minería de criptomoneda en la plataforma “The Pirate Bay”

La popular plataforma se ha visto envuelta en una nueva polémica: el uso de JavaScript para minar cryptomonedas “Monero” con ayuda de la CPU de los usuarios que visitan esta plataforma, pero sin su conocimiento ni consentimiento.

Desde los últimos años las “criptomonedas” han adquirido un papel importante. No entraremos en detalle sobre las criptomonedas y/o sobre lo que es “The Pirate Bay”. En Internet podemos encontrar muchísima información sobre esto.

Hay que decir que los gastos que conlleva administrar una plataforma como TPB son muy altos, así que no es de extrañar que se usen métodos como insertar publicidad para que así cubran los gastos derivados de la plataforma.

Lo interesante de la noticia es que han implementado el sistema de minería sin que los usuarios fuesen conscientes de ello. La plataforma que ha posibilitado esta minería es Coin-Hive.
Con un sencillo fichero JavaScript se puede hacer que el visitante de la web también aporte al proyecto cediendo CPU para la minería en cada visita al sitio web.

La web de Coin-Hive nos muestra una pequeña demo de su sistema donde podremos ver cuantos hashes hemos calculado. En 30 segundos (el tiempo mínimo estimado que pasa un usuario en The Pirate Bay) hemos calculado alrededor de 600 hashes.

Captura de The Pirate Bay con el código JavaScript de minado


Hemos probado a entrar en los distintos portales de The Pirate Bay, haciendo uso de un simple comando de Linux vemos como sube nuestra carga de procesamiento, tanto que los cuatro núcleos están en el 90% aproximadamente.

Carga de un equipo común durante el proceso de minado

El fichero JavaScript contiene

Código JavaScript de minado

Desde la organización han comunicado que estaban haciendo una prueba para saber si es un método viable de financiación. De cualquier modo no sabremos si se han estado aprovechando de esto durante más tiempo.

Este nuevo sistema de financiación para webs gratuitas, con su debido control, podría llegar a ser menos molesto que las publicidad a la que estamos acostumbrados. Sin embargo, The Pirate Bay lo ha implementado sin ningún anuncio, advertencia ni consentimiento previo del usuario, lo cual debería ser requisito indispensable para el uso de esta tecnología.


Mario Parra
mparra@hispasec.com

Más información:

Una-al-día:






jueves, 21 de septiembre de 2017

Múltiples vulnerabilidades en Samba

Se han confirmado tres vulnerabilidades en las versiones de Samba anteriores a la 4.4.16, 4.5.14 y 4.6.8, que podrían permitir a un atacante remoto secuestrar una conexión samba y acceder a información sensible a través de ataques de hombre en el medio.




Samba es un software libre que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet utilizando el protocolo de Microsoft Windows. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

La primera vulnerabilidad, etiquetada con CVE-2017-12150, permitiría a un atacante remoto realizar ataques 'man in the middle' y obtener información sensible aprovechando que algunos mensajes 'SMB' se transmiten sin firmar:

  • En el cliente samba, cuando se utiliza el parámetro '-e' para cifrar la conexión con el servidor, no se asegura la negociación de la firma para los comandos 'smb2mount -e', 'smbcacls -e' y 'smbcquotas -e'. Este fallo tiene relación con la vulnerabilidad CVE-2015-5296, corregida de forma incompleta en las versiones de Samba posteriores a la 3.2.0 y 4.3.2.
  • El componente 'samba.samba3.libsmb_samba_internal' para la librería de Python no tiene en cuenta la opción 'client signing' del fichero de configuración 'smb.conf' y envía los mensajes sin firmar.
  • La librería 'libgpo' tampoco fuerza la firma cuando hace una consulta de las políticas de grupo.
  • Las herramientas 'smbclient', 'smbcacls' y 'smbcquotas' permiten conexiones anónimas en caso de fallo cuando se utiliza el parámetro '--use-ccache'.

El siguiente fallo (CVE-2017-12151) permitiría a un atacante remoto leer y alterar documentos a través de un ataque 'man in the middle' debido a que no se mantiene el cifrado cuando se realizan redirecciones 'DFS' (en un sistema de archivos distribuido) con conexiones de tipo 'SMB3'. Este error se ha corregido en las versiones 4.6.8, 4.5.14 y 4.4.16 de Samba.

La útima vulnerabilidad corregida (CVE-2017-12163) permitiría a un cliente con permisos de escritura volcar el contenido de la memoria del servidor en un fichero o en una impresora. Esto es debido a que no se comprueba correctamente el rango de datos que envía el cliente, lo que podría provocar que el servidor completara la operación de escritura con datos almacenados en la memoria. Estos fallos han sido corregidos en las versiones de Samba posteriores a la 4.6.8, 4.5.14 y 4.4.16.

Se han publicado parches para solucionar estas vulnerabilidades en
http://www.samba.org/samba/security/



Francisco Salido
fsalido@hispasec.com

Más información:

SMB1/2/3 connections may not require signing where they should
https://www.samba.org/samba/security/CVE-2017-12150.html

SMB3 connections don't keep encryption across DFS redirects
https://www.samba.org/samba/security/CVE-2017-12151.html

Server memory information leak over SMB1
https://www.samba.org/samba/security/CVE-2017-12163.html


miércoles, 20 de septiembre de 2017

¿Es OptionsBleed el nuevo HeartBleed?

El investigador independiente Hanno Böck ha descubierto una vulnerabilidad en los servidores web Apache que permite el filtrado de fragmentos de memoria arbitrarios. Un comportamiento que nos recuerda a HeartBleed, famosa vulnerabilidad en OpenSSL de 2014.


Imagen tomada de The Fuzzing Project

Precisamente por este parecido la vulnerabilidad ha sido bautizada como OptionsBleed, también en honor al método OPTIONS de HTTP. Este es utilizado por un cliente web para recibir información sobre los métodos soportados por el servidor. Una petición OPTIONS normal debería devolver una respuesta de la forma:


Respuesta de una petición OPTIONS.

Pero, durante una investigación sobre los sitios con mayor posición de Alexa, Böck descubrió algunas respuestas a OPTIONS bastante peculiares. Los métodos se repetían, aparecían vacíos, y en algunas cabeceras se devolvía algo parecido a una fuga de memoria:


Respuesta OPTIONS de un servidor vulnerable.

Este comportamiento le hizo sospechar. Aunque no conocía el software especifico que devolvía estas respuestas, encontró fugas con fragmentos de configuraciones que parecían pertenecer a servidores Apache, y se puso en contacto con el equipo de desarrollo, que 
finalmente confirmaron la vulnerabilidad. 

Este error ha sido identificado como CVE-2017-9798 y ya existen parches para la mayoría de las versiones de Apache Web Server en Linux.


Teoría y práctica


Explotar OptionsBleed en teoría es sencillo: solo hay que realizar una petición OPTIONS al servidor para disparar la vulnerabilidad. En la práctica, la vulnerabilidad no es determinista, es decir, no devuelve siempre el mismo resultado dados los mismos datos de entrada. Por ello su reproducción es difícil.

Se sabe con seguridad que la vulnerabilidad es causada por un fallo en la implementación de la directiva Limit. Los métodos disponibles en el servidor (aquellos que la respuesta de OPTIONS comunica) se pueden establecer a nivel global en la configuración. Usando Limit, además, se puede limitar su uso por recurso, usando un fichero .htaccess.


Sintaxis de una directiva Limit.

El problema ocurre cuando establecemos una directiva Limit sobre un método que no hemos registrado en la configuración global. Es más, en general cualquier método no valido sobre el que se define esta directiva directiva en un fichero .htaccess provoca la fuga de información.

Aun localizado el problema, se deben dar ciertas condiciones para su explotación, y los detalles son bastante vagos. Según Böck en el FAQ de la vulnerabilidad:

Debido a su naturaleza, el fallo no aparece de forma determinista. Parece que solo se da en servidores ocupados. A veces aparece tras varias peticiones.

OptionsBleed no es HeartBleed


Más allá del parecido en el comportamiento, hay varias diferencias que hacen a OptionsBleed bastante menos peligroso que HeartBleed, la famosa vulnerabilidad en OpenSSL aparecida en 2014 con la que se le está comparando.

Por un lado, la superficie de exposición es menor. OptionsBleed solo afecta a servidores Apache Web Server. Por su parte HeartBleed afectaba a todo servidor con versiones de OpenSSL vulnerables, sin distinción entre web, email, o VPN. 

Además, es necesario tener una cierta configuración y que el servidor se encuentre en condiciones específicas para la explotación. Hay que tener en cuenta que en el estudio se ha conseguido explotar la vulnerabilidad en solo 466 servidores entre el Top 1 millón de Alexa. Además, de ser explotada, OptionsBleed devuelve un fragmento de menor longitud que HeartBleed.

Sin embargo, tiene un riesgo añadido: en servidores Apache compartidos, un usuario puede incluir un fichero .htaccess manipulado para facilitar deliberadamente la explotación y descubrir secretos del resto de usuarios.

Pero hay algo que sí tiene en común: pasaron desapercibidos durante bastante tiempo.



Francisco López
@zisk0
flopez@hispasec.com

Más información:



OpenSSL afectada por una vulnerabilidad apodada HeartBleed





martes, 19 de septiembre de 2017

RedAlert2.0, nuevo troyano bancario en Android

En foros underground se ha estado cocinando un nuevo troyano bancario, bautizado como RedAlert 2.0 por el creador. A diferencia de otros bots anteriores, no utiliza como base de código otros troyanos que acostumbraban a tomar códigos filtrados para su desarrollo. Entidades españolas como Bankia o BBVA se ven afectadas.




RedAlert cuenta con características comunes al resto de troyanos bancarios en Android como Overlay (superposición de un falso login), control sobre los SMS y extracción de los contactos. 

Como principal novedad, los equipos de respuesta de incidente de las entidades bancarias pueden verse afectados por este troyano. Los SOC internos suelen localizar a los clientes por vía telefónica para avisarles de la infección. Este troyano monitoriza y bloquea las llamadas que provienen de entidades bancarias para evitar el contacto.

Otra particularidad es que utiliza Twitter como método para conseguir nuevos centros de control en caso de que su servidor por defecto sea neutralizado. 

Vector de infección utilizado por RedAlert

Utiliza un vector de infección típico utilizado por el Malware en Android para evitar tener que evadir los controles de la Google Play Store: se hace uso de un servidor comprometido o registrado con fines maliciosos que, al visitarlo, contiene una falsa alerta de actualización para dispositivos Android. Los usuarios se descargan así automáticamente el APK y lo ejecutan. Una vez ejecutado, se solicitan permisos de administrador de dispositivo y se comprueba la hora UTC via timeapi.org

Esquema de comunicaciones de RedAlert

Una vez tiene todo lo necesario para proceder a comunicarse con el servidor de control, comienza a enviar datos al servidor remoto:

  • Modelo.
  • Versión de Android.
  • Idioma del teléfono.
  • IMEI del dispositivo infectado. 

Estas comunicaciones utilizan codificación BASE64, por lo que son sencillas de visualizar. Consecuentemente, se envía información sobre si se consiguió el permiso de administrador en el dispositivo junto con un array con el contenido de SMS al servidor remoto. Finalmente, cuenta con el comando UCS utilizado para recibir instrucciones, y puede introducirse cualquiera de los comandos incluidos en el listado ilustrado en el esquema de comunicaciones. 

La metodología de robo de credenciales a las víctimas es similar al resto de troyanos en Android actuales. Sin embargo, a partir de las versiones Android 5.0 en adelante se hace uso de Android toolbox, que encapsula la funcionalidad de los comandos mas comunes en Linux en un único binario, como por ejemplo 'ls' o 'ps'

Fragmento de codigo correspondiente a la llamada de `toolbox ps -p -P -x -c`

Como comentabamos anteriormente, es destacable que a pesar de que hace uso de métodos utilizados por otros troyanos bancarios no es una evolución de código anterior. Se trata de un troyano que se ha programado completamente desde cero y cuenta con actualizaciones constantes. Este tipo de troyanos de momento se encuentran en markets no oficiales y en otras páginas con el fin de infectar usuarios.

De momento todas estas muestras se pueden detectar con Koodous Antivirus, y se pueden localizar muestras mediante el tag #RedAlert en Koodous o en el siguiente enlace.

Más información:
* https://clientsidedetection.com/new_android_trojan_targeting_over_60_banks_and_social_apps.html
* https://github.com/virqdroid/Android_Malware/tree/master/Red_Alert_2


Fernando Díaz
fdiaz@hispasec.com
@entdark_


lunes, 18 de septiembre de 2017

Vulnerabilidad de denegación de servicio en ImageMagick

Se ha reportado una vulnerabilidad en Imagemagick, una herramienta empleada por millones de sitios web para el tratamiento de imágenes. La vulnerabilidad es considerada de gravedad alta y podría permitir a un atacante provocar condiciones de denegación de servicio.


Como hemos explicado en anteriores boletines, ImageMagick es un conjunto de utilidades de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y escribir más de 200 formatos. Se trata de un conjunto de utilidades de línea de comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas. También es usado por otros programas para la conversión de imágenes.

En el problema reportado, con CVE-2017-14505, debido a un error en la función 'DrawGetStrokeDashArray' en 'wand/drawing-wand.c' al manejar determinados arrays nulos podría causar una desreferencia a puntero nulo en la función 'AcquireQuantumMemory' en  'MagickCore/memory.c'.

Un atacante remoto podría valerse de este error para provocar denegaciones de servicios a través de archivos de imágenes especialmente manipulados.


Este problema afecta a las versiones anteriores a la 7.0.7-1. Se recomienda actualizar a versiones superiores. https://www.imagemagick.org/download/beta/

Juan Sánchez

Más información:

Null Pointer Dereference triggered by malformed Image File

Imagemagick

domingo, 17 de septiembre de 2017

Cómo mantenerse a salvo de BlueBorne si no tenemos actualización

BlueBorne es el conjunto de vulnerabilidades publicadas el pasado día 12 de septiembre por la empresa de seguridad Armis, que hizo una publicación responsable de las vulnerabilidades encontradas en la implementación Bluetooth, poniendose en contacto previamente con los sistemas operativos más importantes.





Windows y Linux han publicado actualizaciones para esta vulnerabilidad, Apple ha comunicado que la vulnerabilidad no afecta a las últimas versiones de su sistema. El caso de Android es el más delicado, debido a que aunque la versión oficial ya se encuentre corregida, falta que los fabricantes la incorporen y la distribuyan entre los terminales afectados. Este escenario, nada halagüeño, crea bastante preocupación debido a la pasividad de la mayoría de los fabricantes en el proceso de actualización de sus terminales.


Para comprobar si su móvil Android es vulnerable, la propia empresa Armis hizo público una aplicación en Google Play para comprobarlo. Esta aplicación no sólo comprueba si su terminal es vulnerable, sino que comprueba también en todos los terminales con Bluetooth a los que tenga alcance. En el caso de que Armis estuviese guardando esta información, estaría generando una formidable base de datos sobre dispositivos vulnerables que sería interesante que compartiesen. De esta forma, fabricantes y comunidad podrían sacar parches que corrijan, o al menos mitiguen cuando no sea posible corregir la vulnerabilidad.


Mientras tanto, millones de dispositivos siguen siendo vulnerables a la espera de un exploit, que sin ser aún público, podría estar siendo aprovechado en estos momentos. Quién sabe si alguien está programando un ransomware con autopropagación, al ser un nuevo vector que da acceso a los ciberdelincuentes a dispositivos en los que aún no hemos visto este tipo de amenazas (como es el caso de relojes inteligentes, SmartTV's, etc).


Desde Hispasec, como no podría ser de otro modo, recomendamos a todos los usuarios que actualicen y en caso de no tener actualización, desactiven el Bluetooth a espera de noticias de su fabricante.

Más información:


BlueBorne, una vulnerabilidad en Bluetooth con capacidad de autopropagación
http://unaaldia.hispasec.com/2017/09/blueborne-una-vulnerabilidad-en.html

BlueBorne Technical White Paper

http://go.armis.com/hubfs/BlueBorne%20Technical%20White%20Paper.pdf

Google Play - BlueBorne Vulnerability Scanner by Armis
https://play.google.com/store/apps/details?id=com.armis.blueborne_detector





Fernando Ramírez
framirez@hispasec.com






sábado, 16 de septiembre de 2017

'Display Widgets' Backdoor: Cuando el río suena, agua lleva.

‘Display Widgets’ ha sido el plugin en el cual se ha encontrado una backdoor. Lo raro de este caso, es que ha sido necesario reportar hasta cuatro veces esta vulnerabilidad para que, finalmente, se haya producido la eliminación total del plugin en los repositorios oficiales de Wordpress. 

Una backdoor o puerta trasera es el nombre que se le ha puesto al código existente en un software que permite que la máquina que aloja este código sea accesible remotamente por parte de los desarrolladores, permitiendo un control total o casi total en la máquina afectada.

‘Display Widgets’ es un plugin de Wordpress desarrollado por Stephanie Well para facilitar el control a los dueños del blog, permitiendo el control de cómo y cuándo se muestran los widgets en el sitio web. Al ser un plugin de esta plataforma tan exitosa, ha permitido que esta infección haya podido superar las 200000 infecciones en poco más de 2 meses. Pero, ¿qué es lo que ha pasado para tener este alcance?

Todo comienza cuando la desarrolladora del plugin cambia su enfoque de negocio y decide monetizar este plugin con una versión premium, vendiendo el código de su versión libre a otro desarrollador, el cual al mes ya publicó una versión actualizada la 2.6.0.

Esta primera versión recibe su primera queja del SEO David Law, advirtiendo de que este plugin no cumplía las reglas de publicación de Wordpress, puesto que descargaba 38MB's de servidores de terceros. Y no sólo eso, sino que el código descargado contenía código para monitorizar tráfico del usuario obteniendo información como IP, navegador y sitios visitados, y que después esta información era enviada a estos servidores de terceros.

Aunque Wordpress eliminó este plugin de los repositorios oficiales, el plugin no tardó en estar activo de nuevo. Una semana tardó el desarrollador en publicar la versión 2.6.1. Esta vez el plugin no descargaba esos 38MB, sino que esta vez el plugin tenía este contenido en su interior, y además, este plugin (geolocation.php) contenía una backdoor, lo cual permitía a servidores externos conectarse a este plugin y publicar o crear nuevas entradas. Y como no, David Law que aún tenía la vista en este plugin, volvió a reportarlo, y en cuestión de un día, el plugin fue eliminado de nuevo.

En otro tercer intento de este desarrollador, el día 6 de julio publicó su tercera actualización, que aparentemente era inocua, pero 17 días después Wordpress volvía a recibir noticias de este plugin. Éste había cambiado su comportamiento, y esta vez insertaba comentarios de spam en el sitio web que no eran mostrados desde la interfaz de administración. Comentarios que eran sacados desde la IP 52.173.202.113. IP que respondía a los dominios ‘stopspam.io’, ‘w-p.io’, ‘geoip2.io’ y ‘maxmind.io’. Con esta información el equipo de Wordpress volvió a eliminar el plugin.

Ante otro intento de seguir con el proceso de infección, el 2 de septiembre el desarrollador volvió a publicar una versión, y al última, la versión 2.6.3, la cual duró 5 días tras nuevas quejas de los usuarios.

Actualmente el plugin no está disponible en los repositorios oficiales de Wordpress, pero son muchos investigadores los que se han quejado sobre el método de publicación de estas herramientas, ya que son muchos los investigadores que no ven con buenos ojos que una herramienta que ha sido eliminada varias veces por estos motivos, pueda ser subida de nuevo en muy poco tiempo y sin apenas control. 


Más información

Wordfence
https://www.wordfence.com/blog/2017/09/display-widgets-malware/

BleepingComputer
https://www.bleepingcomputer.com/news/security/backdoor-found-in-wordpress-plugin-with-more-than-200-000-installations/


Jose Ignacio Palacios

viernes, 15 de septiembre de 2017

Ejecución de código remoto en Microsoft Edge

Microsoft ha publicado una vulnerabilidad en Microsoft Edge que permite ejecutar código remoto a través de una página web especialmente manipulada.






ChakraCore, el núcleo de Chakra, el motor de JavaScript presente en Microsoft Edge, se ha visto afectado por una vulnerabilidad en la forma en la que maneja ciertos objetos en memoria. Según una observación superficial del trozo de código afectado antes y después de corregir la vulnerabilidad, ésta parece ser provocada por un manejo incorrecto de los ámbitos (partes del código en los que cada una de las variables existe). Esto provocaría un error de inicialización no esperada, afectando a memoria que no debería.

Cuando se produce un fallo de escritura inesperada en memoria, existe el riesgo de que se ejecute código fuera del flujo original, produciéndose el fenómeno de weird machine. Si el fallo de escritura se provoca a propósito y es construido cuidadosamente, en algunos casos se puede ejecutar código proporcionado por el atacante. Esta es la base de la mayoría de las vulnerabilidades modernas de explotación de memoria.

El escenario de explotación es clásico: Una página web especialmente diseñada para explotar la vulnerabilidad, y el atacante sólo tendría que apañárselas para que la víctima la visitase. Por el momento, la vulnerabilidad está corregida en el repositorio de código GitHub, pero no hay indicios de que esté incorporada esta corrección en una versión pública.



Carlos Ledesma



Más información


CVE-2017-11767 | Scripting Engine Memory Corruption Vulnerability

CVE-2017-11767 | Do not instantiate param scope if only the function expression symbol is captured

jueves, 14 de septiembre de 2017

Grave vulnerabilidad remota en .NET corregida en los últimos boletines de Microsoft

Como viene siendo habitual, Microsoft ha publicado su boletín mensual de actualizaciones de seguridad, y entre ellas, se ha corregido un importante 0-day para la plataforma .NET Framework, que estaba siendo explotado en una nueva campaña de malware, relacionada con el grupo NEODYMIUM y la distribución de FINSPY



Boletín de septiembre 

Microsoft ha corregido este mes en un boletín bastante numeroso, 82 vulnerabilidades/CVEs, siendo el siguiente el listado de productos actualizados con sus correciones más importantes: 
  • Internet Explorer, presentando un total de 7 vulnerabilidades corregidas relacionadas con ejecución remota de código. 
  • Microsoft Edge, 29 vulnerabilidades corregidas, 20 de ellas críticas. 
  • Microsoft Windows, con 38 vulnerabilidades corregidas, siendo las de mayor impacto, por ejecución remota de código, las que afectaban a los módulos NetBIOS (CVE-2017-0161), Win32k Graphics (CVE-2017-8682), Windows DHCP Server (CVE-2017-8686), Uniscribe (CVE-2017-8692), Microsoft Graphics Component (CVE-2017-8696), Windows Shell (CVE-2017-8699),  Remote Desktop Virtual Host (CVE-2017-8714),  Microsoft PDF (CVE-2017-8728, CVE-2017-8737) y el controlador Broadcom BCM43xx presente en las HoloLens (CVE-2017-9417).
    Merece mención especial, la actualización de la pila Bluetooth, tras el reciente ataque BueBorne y la corrección de una vulnerabilidad de tipo Spoofing (CVE-2017-8628)
  • Microsoft Office y Microsoft Office Services & Web Apps. Se han solucionado 14 vulnerabilidades, 10 de ellas críticas. 
  • Skype for Business y Lync, ejecución de código, CVE-2017-8696.
  • .NET Framework, quizás la vulnerabilidad más importante (CVE-2017-8759) y que desgranaremos más adelante. 
  • Xamarin.iOS, elevación de privilegios en Xamarin Studio para Mac (CVE-2017-8665
  • ChakraCore, motor Javascript de Edge, una ejecución remota de código (CVE-2017-8658
  • Microsoft Exchange Server, una vulnerabilidad de revelación de información (CVE-2017-11761
  • Adobe Flash Player, dos vulnerabilidades por ejecuciones remota de código que afectaban al plugin (CVE-2017-11281, CVE-2017-11282). 


0-day en .NET Framework  y distribución de FINSPY

En conjunción y de manera coordinada con la publicación de estos boletines, la firma de seguridad FireEye, ha hecho público el análisis de la vulnerabilidad presente en .NET Framework y que estaría siendo explotada por un grupo de atacantes, identificados por Microsoft como el grupo NEODYMIUM. Utilizarían este 0-day para la distribución de una variante del malware de espionaje conocido como FINSPY o FinFisher, mediante el envío de documentos Office (RTF, DOCX) especialmente manipulados.

La vulnerabilidad (CVE-2017-8759) estaría presente al procesar un objeto OLE embebido en el documento, en concreto un webservice WSDL a través de su moniker SOAP. Esto permitiría a un atacante remoto inyectar código arbitrario durante el proceso de parseo, elevar privilegios y como se ha demostrado, según los reportes de FireEye, ser explotado para ejecutar código remoto y controlar el sistema afectado.

Técnicamente, el problema residiría en el método PrintClientProxy y la incorrecta validación presente en la función "IsValidUrl" al recibir códigos CRLF. Esto provocaría la posterior ejecución de los comandos inyectados.

Debido a esto y a la sencillez de la vulnerabilidad, firmas como MDSec ya han mostrado públicamente como reproducir el exploit:



Desde la propia Microsoft se recomienda encarecidamente actualizar los sistemas o al menos actualizar Windows Defender Antivirus, que ya bloquea este tipo de exploit, identificado como Exploit:RTF/Fitipol.A, Behavior:Win32/Fitipol.A y Exploit:RTF/CVE-2017-8759.A. También los usuarios de Windows 10 y como nueva capa de seguridad añadida, se verán protegidos mediante Windows Defender Exploit Guard (sustituto de EMET), disponible en la próxima actualización Fall Creators Update.


Más información: 

September 2017 Security Updates 

Security Update Guide 

FireEye Uncovers CVE-2017-8759: Zero-Day Used in the Wild to Distribute FINSPY 

Exploit for CVE-2017-8759 detected and neutralized 

Exploiting CVE-2017-8759: SOAP WSDL Parser Code Injection 

José Mesa Orihuela
@jsmesa