Grave vulnerabilidad remota en .NET corregida en los últimos boletines de Microsoft

Como viene siendo habitual, Microsoft ha publicado su boletín mensual de actualizaciones de seguridad, y entre ellas, se ha corregido un importante 0-day para la plataforma .NET Framework, que estaba siendo explotado en una nueva campaña de malware, relacionada con el grupo NEODYMIUM y la distribución de FINSPY.

Boletín de septiembre

Microsoft ha corregido este mes en un boletín bastante numeroso, 82 vulnerabilidades/CVEs, siendo el siguiente el listado de productos actualizados con sus correciones más importantes:
Internet Explorer, presentando un total de 7 vulnerabilidades corregidas relacionadas con ejecución remota de código.
Microsoft Edge, 29 vulnerabilidades corregidas, 20 de ellas críticas.
Microsoft Windows, con 38 vulnerabilidades corregidas, siendo las de mayor impacto, por ejecución remota de código, las que afectaban a los módulos NetBIOS (CVE-2017-0161), Win32k Graphics (CVE-2017-8682), Windows DHCP Server (CVE-2017-8686), Uniscribe (CVE-2017-8692), Microsoft Graphics Component (CVE-2017-8696), Windows Shell (CVE-2017-8699), Remote Desktop Virtual Host (CVE-2017-8714), Microsoft PDF (CVE-2017-8728, CVE-2017-8737) y el controlador Broadcom BCM43xx presente en las HoloLens (CVE-2017-9417).

Merece mención especial, la actualización de la pila Bluetooth, tras el reciente ataque BueBorne y la corrección de una vulnerabilidad de tipo Spoofing (CVE-2017-8628)

Microsoft Office y Microsoft Office Services & Web Apps. Se han solucionado 14 vulnerabilidades, 10 de ellas críticas.
Skype for Business y Lync, ejecución de código, CVE-2017-8696.

.NET Framework, quizás la vulnerabilidad más importante (CVE-2017-8759) y que desgranaremos más adelante.
Xamarin.iOS, elevación de privilegios en Xamarin Studio para Mac (CVE-2017-8665)
ChakraCore, motor Javascript de Edge, una ejecución remota de código (CVE-2017-8658)
Microsoft Exchange Server, una vulnerabilidad de revelación de información (CVE-2017-11761)
Adobe Flash Player, dos vulnerabilidades por ejecuciones remota de código que afectaban al plugin (CVE-2017-11281, CVE-2017-11282).

0-day en .NET Framework y distribución de FINSPY

En conjunción y de manera coordinada con la publicación de estos boletines, la firma de seguridad FireEye, ha hecho público el análisis de la vulnerabilidad presente en .NET Framework y que estaría siendo explotada por un grupo de atacantes, identificados por Microsoft como el grupo NEODYMIUM. Utilizarían este 0-day para la distribución de una variante del malware de espionaje conocido como FINSPY o FinFisher, mediante el envío de documentos Office (RTF, DOCX) especialmente manipulados.

La vulnerabilidad (CVE-2017-8759) estaría presente al procesar un objeto OLE embebido en el documento, en concreto un webservice WSDL a través de su moniker SOAP. Esto permitiría a un atacante remoto inyectar código arbitrario durante el proceso de parseo, elevar privilegios y como se ha demostrado, según los reportes de FireEye, ser explotado para ejecutar código remoto y controlar el sistema afectado.

Técnicamente, el problema residiría en el método PrintClientProxy y la incorrecta validación presente en la función “IsValidUrl” al recibir códigos CRLF. Esto provocaría la posterior ejecución de los comandos inyectados.

Debido a esto y a la sencillez de la vulnerabilidad, firmas como MDSec ya han mostrado públicamente como reproducir el exploit:

Desde la propia Microsoft se recomienda encarecidamente actualizar los sistemas o al menos actualizar Windows Defender Antivirus, que ya bloquea este tipo de exploit, identificado como Exploit:RTF/Fitipol.A, Behavior:Win32/Fitipol.A y Exploit:RTF/CVE-2017-8759.A. También los usuarios de Windows 10 y como nueva capa de seguridad añadida, se verán protegidos mediante Windows Defender Exploit Guard (sustituto de EMET), disponible en la próxima actualización

Ver información original al respecto en Fuente: