Dettaglio News Dettaglio News

Vulnerabilità 0day utilizzata per distribuire il malware Finspy. Microsoft rilascia la patch risolutiva
14/09/2017
I ricercatori di FireEye hanno scoperto e successivamente annunciato in data 12 settembre una vulnerabilità zero-day insita nel parser WSDL del framework Microsoft .Net che si occupa di purificare le informazioni malevole in ingresso veicolate tramite protocollo SOAP in formato XML

La vulnerabilità è stata segnalata privatamente a Microsoft e solo dopo aver reso disponibile la patch (CVE-2017-8759) con gli aggiornamenti cumulativi di settembre 2017 è stata ufficialmente divulgata. 

Nella fattispecie, un attaccante potrebbe predisporre - così come è già accaduto - un documento MS Office ad-hoc contente il codice malevolo che una volta aperto dalla vittima su un ambiente Windows consentirebbe l'esecuzione di codice remoto.

I ricercatori FireEye hanno evidenza dello sfruttamento precedente della vulnerabilità attraverso un file Word il cui scopo era quello di distribuire il malware FINSPY (un software malevolo di tipo trojan utilizzato per il controllo remoto delle macchine) veicolandolo come un file di immagine con estensione ".jpg". 

Il bug ha quindi consentito agli attaccanti di scaricare sul sistema della vittima un ulteriore codice malevolo (uno script HTA) da un server remoto al quale è stato delegato il compito di compilare una libreria (dll) dai sorgenti generati dal parser, di rimuovere dal sistema il codice sorgente e scaricare un file denominato "left.jpg" che in realtà, nonostante l'estensione, si tratta dell'eseguibile Finspy.  

Una analisi preliminare del documento incriminato è disponibile sulla nostra piattaforma Infosec. Mentre l'exploit, un PoC del file XML, è da ieri disponibile sulla piattaforma Github e un video dimostrativo su come mettere in pratica l'exploit è stato caricato su Youtube.

Si consiglia pertanto di procedere al più presto con l'installazione della patch Microsoft.