viernes, 15 de septiembre de 2017

Grave vulnerabilidad remota en .NET corregida en los últimos boletines de Microsoft

Como viene siendo habitual, Microsoft ha publicado su boletín mensual de actualizaciones de seguridad, y entre ellas, se ha corregido un importante 0-day para la plataforma .NET Framework, que estaba siendo explotado en una nueva campaña de malware, relacionada con el grupo NEODYMIUM y la distribución de FINSPY



Boletín de septiembre 

Microsoft ha corregido este mes en un boletín bastante numeroso, 82 vulnerabilidades/CVEs, siendo el siguiente el listado de productos actualizados con sus correciones más importantes: 
  • Internet Explorer, presentando un total de 7 vulnerabilidades corregidas relacionadas con ejecución remota de código. 
  • Microsoft Edge, 29 vulnerabilidades corregidas, 20 de ellas críticas. 
  • Microsoft Windows, con 38 vulnerabilidades corregidas, siendo las de mayor impacto, por ejecución remota de código, las que afectaban a los módulos NetBIOS (CVE-2017-0161), Win32k Graphics (CVE-2017-8682), Windows DHCP Server (CVE-2017-8686), Uniscribe (CVE-2017-8692), Microsoft Graphics Component (CVE-2017-8696), Windows Shell (CVE-2017-8699),  Remote Desktop Virtual Host (CVE-2017-8714),  Microsoft PDF (CVE-2017-8728, CVE-2017-8737) y el controlador Broadcom BCM43xx presente en las HoloLens (CVE-2017-9417).
    Merece mención especial, la actualización de la pila Bluetooth, tras el reciente ataque BueBorne y la corrección de una vulnerabilidad de tipo Spoofing (CVE-2017-8628)
  • Microsoft Office y Microsoft Office Services & Web Apps. Se han solucionado 14 vulnerabilidades, 10 de ellas críticas. 
  • Skype for Business y Lync, ejecución de código, CVE-2017-8696.
  • .NET Framework, quizás la vulnerabilidad más importante (CVE-2017-8759) y que desgranaremos más adelante. 
  • Xamarin.iOS, elevación de privilegios en Xamarin Studio para Mac (CVE-2017-8665
  • ChakraCore, motor Javascript de Edge, una ejecución remota de código (CVE-2017-8658
  • Microsoft Exchange Server, una vulnerabilidad de revelación de información (CVE-2017-11761
  • Adobe Flash Player, dos vulnerabilidades por ejecuciones remota de código que afectaban al plugin (CVE-2017-11281, CVE-2017-11282). 


0-day en .NET Framework  y distribución de FINSPY

En conjunción y de manera coordinada con la publicación de estos boletines, la firma de seguridad FireEye, ha hecho público el análisis de la vulnerabilidad presente en .NET Framework y que estaría siendo explotada por un grupo de atacantes, identificados por Microsoft como el grupo NEODYMIUM. Utilizarían este 0-day para la distribución de una variante del malware de espionaje conocido como FINSPY o FinFisher, mediante el envío de documentos Office (RTF, DOCX) especialmente manipulados.

La vulnerabilidad (CVE-2017-8759) estaría presente al procesar un objeto OLE embebido en el documento, en concreto un webservice WSDL a través de su moniker SOAP. Esto permitiría a un atacante remoto inyectar código arbitrario durante el proceso de parseo, elevar privilegios y como se ha demostrado, según los reportes de FireEye, ser explotado para ejecutar código remoto y controlar el sistema afectado.

Técnicamente, el problema residiría en el método PrintClientProxy y la incorrecta validación presente en la función "IsValidUrl" al recibir códigos CRLF. Esto provocaría la posterior ejecución de los comandos inyectados.

Debido a esto y a la sencillez de la vulnerabilidad, firmas como MDSec ya han mostrado públicamente como reproducir el exploit:



Desde la propia Microsoft se recomienda encarecidamente actualizar los sistemas o al menos actualizar Windows Defender Antivirus, que ya bloquea este tipo de exploit, identificado como Exploit:RTF/Fitipol.A, Behavior:Win32/Fitipol.A y Exploit:RTF/CVE-2017-8759.A. También los usuarios de Windows 10 y como nueva capa de seguridad añadida, se verán protegidos mediante Windows Defender Exploit Guard (sustituto de EMET), disponible en la próxima actualización Fall Creators Update.


Más información: 

September 2017 Security Updates 

Security Update Guide 

FireEye Uncovers CVE-2017-8759: Zero-Day Used in the Wild to Distribute FINSPY 

Exploit for CVE-2017-8759 detected and neutralized 

Exploiting CVE-2017-8759: SOAP WSDL Parser Code Injection 

José Mesa Orihuela
@jsmesa