Grave vulnerabilidad remota en .NET corregida en los últimos boletines de Microsoft

Como viene siendo habitual, Microsoft ha publicado su boletín mensual de actualizaciones de seguridad, y entre ellas, se ha corregido un importante 0-day para la plataforma .NET Framework, que estaba siendo explotado en una nueva campaña de malware, relacionada con el grupo NEODYMIUM y la distribución de FINSPY. 

• Internet Explorer, presentando un total de 7 vulnerabilidades corregidas relacionadas con ejecución remota de código. 
• Microsoft Edge, 29 vulnerabilidades corregidas, 20 de ellas críticas. 
• Microsoft Windows, con 38 vulnerabilidades corregidas, siendo las de mayor impacto, por ejecución remota de código, las que afectaban a los módulos NetBIOS (CVE-2017-0161), Win32k Graphics (CVE-2017-8682), Windows DHCP Server (CVE-2017-8686), Uniscribe (CVE-2017-8692), Microsoft Graphics Component (CVE-2017-8696), Windows Shell (CVE-2017-8699),  Remote Desktop Virtual Host (CVE-2017-8714),  Microsoft PDF (CVE-2017-8728, CVE-2017-8737) y el controlador Broadcom BCM43xx presente en las HoloLens (CVE-2017-9417).
  Merece mención especial, la actualización de la pila Bluetooth, tras el reciente ataque BueBorne y la corrección de una vulnerabilidad de tipo Spoofing (CVE-2017-8628)
• Microsoft Office y Microsoft Office Services & Web Apps. Se han solucionado 14 vulnerabilidades, 10 de ellas críticas. 
• Skype for Business y Lync, ejecución de código, CVE-2017-8696.
• .NET Framework, quizás la vulnerabilidad más importante (CVE-2017-8759) y que desgranaremos más adelante. 
• Xamarin.iOS, elevación de privilegios en Xamarin Studio para Mac (CVE-2017-8665) 
• ChakraCore, motor Javascript de Edge, una ejecución remota de código (CVE-2017-8658) 
• Microsoft Exchange Server, una vulnerabilidad de revelación de información (CVE-2017-11761) 
• Adobe Flash Player, dos vulnerabilidades por ejecuciones remota de código que afectaban al plugin (CVE-2017-11281, CVE-2017-11282). 

En conjunción y de manera coordinada con la publicación de estos boletines, la firma de seguridad FireEye, ha hecho público el análisis de la vulnerabilidad presente en .NET Framework y que estaría siendo explotada por un grupo de atacantes, identificados por Microsoft como el grupo NEODYMIUM. Utilizarían este 0-day para la distribución de una variante del malware de espionaje conocido como FINSPY o FinFisher, mediante el envío de documentos Office (RTF, DOCX) especialmente manipulados.

La vulnerabilidad (CVE-2017-8759) estaría presente al procesar un objeto OLE embebido en el documento, en concreto un webservice WSDL a través de su moniker SOAP. Esto permitiría a un atacante remoto inyectar código arbitrario durante el proceso de parseo, elevar privilegios y como se ha demostrado, según los reportes de FireEye, ser explotado para ejecutar código remoto y controlar el sistema afectado.

Técnicamente, el problema residiría en el método PrintClientProxy y la incorrecta validación presente en la función “IsValidUrl” al recibir códigos CRLF. Esto provocaría la posterior ejecución de los comandos inyectados.

Debido a esto y a la sencillez de la vulnerabilidad, firmas como MDSec ya han mostrado públicamente como reproducir el exploit: