阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 4248阅读
  • 1回复

[安全漏洞公告专区]Microsoft  .NET框架0Day漏洞CVE-2017-8759已有攻击者利用其传播FinFisher恶意软件

级别: 论坛版主
发帖
241
云币
478
微软9月补丁修复了一个 0Day漏洞,目前已有安全公司监测到,有攻击者利用该0Day漏洞向讲俄语的个人传播FinFisher 恶意软件。该漏洞由FireEye 研究人员向微软提报,漏洞ID为 CVE-2017-8759, 漏洞影响. NET 框架, 特别是 SOAP WSDL (Web 服务描述语言) 分析器。攻击者想办法让目标用户打开特制的文档或应用程序, 就可以利用该安全漏洞进行 远程代码执行 OCwW@OC +  
cB_pyX9Z  
攻击者利用.NET 0Day漏洞传播FinFisher恶意软件 x<Iy<v7-  
IL2e6b  
在 FireEye 所观察到的攻击中, 威胁行为者通过恶意文档利用该漏洞, 在部署最终有效Payload之前下载了几个组件--FinFisher 的变种。 /G{&[X<4U  
FinFisher, 也被称为 FINSPY 和 WingBird, 是一个合法的拦截工具, 其开发商声称只出售给政府。然而, 研究人员在许多场合发现, 该工具被某些国家利用,作为在人 权和公民由方面的间 谍软件。 gO9'q='5l  
在 FireEye 最近观察到的攻击中, 一个威胁行为者通过一个名为 "Проект. doc" (俄语中的"项目") 的文件来传递间 谍软件。这家安全公司以适度的信心表示, 一个由国家赞助的团体发起了这次袭击, 目的是刺探俄语用户。 $1b]xQ  
F9F" F  
FireEye分析了利用.NET 0Day漏洞的攻击 dZ.}j&ZH'  
Tm%WWbc  
FireEye 研究人员在一篇博文中说: "
[这种变体的 FinFisher] 利用大量模糊的代码, 使用内置的虚拟机 (除其他分析对抗技术), 使逆向分析更加困难。" "k/;`eAP  
不像其他的分析对抗技术, 它解析自己的完整路径, 并搜索其自己的 MD5 哈希的字符串表示形式。许多资源 (如分析工具和沙盒) 将文件/示例重命名为其 MD5 哈希, 以确保唯一的文件名。
@>+^W&  
虽然微软对 CVE-2017-8759 的公告所包含的信息不多, 但FireEye 的博客帖子包含许多技术细节。
https://www.fireeye.com/blog/threat-research/2017/09/zero-day-used-to-distribute-finspy.html
-e &$,R>;  
今年早些时候, 卡巴斯基注意到一个中东的攻击者 "BlackOasis"利用微软Office 0Day (CVE-2017-0199)传播 FinFisher 恶意软件。FireEye 也发现了攻击利用 CVE-2017-0199 提供 FinFisher 今年早些时候, 安全公司认为 CVE-2017-8759 可能也被其他组织使用, 虽然目前没有证据支持这一理论。 #dHr&1(  
;tXB46  
3L?WTS6(u  
受影响版本: }Q,(u   
p .lu4  
Microsoft .NET Framework 4.6.2 (6e!09P&  
Microsoft .NET Framework 4.6.1 >F,$;y52  
Microsoft .NET Framework 3.5.1 !}z%#$  
Microsoft .NET Framework 4.7 7ytm .lU  
Microsoft .NET Framework 4.6 Gs^(YGtU  
Microsoft .NET Framework 4.5.2 ])+Sc"g4k  
Microsoft .NET Framework 3.5 mipi]*ZfXE  
Microsoft .NET Framework 2.0 SP2 'Na|#tPYI  
JJ^iy*v  
zNNzsT8na  
如果您使用了.NET框架,建议您尽快更新补丁:https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8759 ~l;yr @  
qPp1:a"   
m]bL)]Z  
原文链接:http://toutiao.secjia.com/net-0day-cve-2017-8759 l :f9Ih  
ztRWIkI q  
[ 此帖被正禾在2017-09-15 14:02重新编辑 ]
级别: 论坛版主
发帖
9349
云币
14165
只看该作者 沙发  发表于: 2017-09-13
多谢分享~ 这个0Day很强啊
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)