- Internet Explorer, presentando un total de 7 vulnerabilidades corregidas relacionadas con ejecución remota de código.
- Microsoft Edge, 29 vulnerabilidades corregidas, 20 de ellas críticas.
- Microsoft Windows, con 38 vulnerabilidades corregidas, siendo las de mayor impacto, por ejecución remota de código, las que afectaban a los módulos NetBIOS (CVE-2017-0161), Win32k Graphics (CVE-2017-8682), Windows DHCP Server (CVE-2017-8686), Uniscribe (CVE-2017-8692), Microsoft Graphics Component (CVE-2017-8696), Windows Shell (CVE-2017-8699), Remote Desktop Virtual Host (CVE-2017-8714), Microsoft PDF (CVE-2017-8728, CVE-2017-8737) y el controlador Broadcom BCM43xx presente en las HoloLens (CVE-2017-9417).
Merece mención especial, la actualización de la pila Bluetooth, tras el reciente ataque BueBorne y la corrección de una vulnerabilidad de tipo Spoofing (CVE-2017-8628) - Microsoft Office y Microsoft Office Services & Web Apps. Se han solucionado 14 vulnerabilidades, 10 de ellas críticas.
- Skype for Business y Lync, ejecución de código, CVE-2017-8696.
- .NET Framework, quizás la vulnerabilidad más importante (CVE-2017-8759) y que desgranaremos más adelante.
- Xamarin.iOS, elevación de privilegios en Xamarin Studio para Mac (CVE-2017-8665)
- ChakraCore, motor Javascript de Edge, una ejecución remota de código (CVE-2017-8658)
- Microsoft Exchange Server, una vulnerabilidad de revelación de información (CVE-2017-11761)
- Adobe Flash Player, dos vulnerabilidades por ejecuciones remota de código que afectaban al plugin (CVE-2017-11281, CVE-2017-11282).
En conjunción y de manera coordinada con la publicación de estos boletines, la firma de seguridad FireEye, ha hecho público el análisis de la vulnerabilidad presente en .NET Framework y que estaría siendo explotada por un grupo de atacantes, identificados por Microsoft como el grupo NEODYMIUM. Utilizarían este 0-day para la distribución de una variante del malware de espionaje conocido como FINSPY o FinFisher, mediante el envío de documentos Office (RTF, DOCX) especialmente manipulados.
La vulnerabilidad (CVE-2017-8759) estaría presente al procesar un objeto OLE embebido en el documento, en concreto un webservice WSDL a través de su moniker SOAP. Esto permitiría a un atacante remoto inyectar código arbitrario durante el proceso de parseo, elevar privilegios y como se ha demostrado, según los reportes de FireEye, ser explotado para ejecutar código remoto y controlar el sistema afectado.
Técnicamente, el problema residiría en el método PrintClientProxy y la incorrecta validación presente en la función «IsValidUrl» al recibir códigos CRLF. Esto provocaría la posterior ejecución de los comandos inyectados.
Debido a esto y a la sencillez de la vulnerabilidad, firmas como MDSec ya han mostrado públicamente como reproducir el exploit:
Deja una respuesta