Unsere Leitstelle kommt häufig mit der von FireEye identifizierten kritischen Sicherheitslücke CVE-2017-8759 in Kontakt, welche aktiv ausgenutzt wird, um die Malware FinSpy zu verteilen. Diese spezifische Schwachstelle betrifft die SOAP WSDL-Parser-Komponente und ermöglicht es Angreifern, willkürlichen Code in ein Zielsystem einzuschleusen. Sie wird häufig von staatlich unterstützten Akteuren für Cyberspionage genutzt, insbesondere gegen russischsprachige Ziele. Unsere Systeme sind darauf eingestellt, die meisten solcher hochriskanten Schwachstellen zu erkennen, um unsere Kunden vor fortgeschrittenen Bedrohungen bestmöglich zu schützen.
Vorgehensweise
Die Ausnutzung der Schwachstelle CVE-2017-8759 erfolgt typischerweise durch ein manipuliertes RTF-Dokument. Dieses enthält ein eingebettetes SOAP-Moniker-Objekt, welches beim Öffnen einen bösartigen Visual Basic Script mit PowerShell-Befehlen ausführt. Das Skript nutzt die Schwachstelle in der SOAP WSDL-Parser-Komponente, um willkürlichen Code auszuführen, wodurch die FinSpy-Malware auf dem Zielgerät installiert wird. Das Microsoft .NET Framework kann WSDL-Inhalte nicht korrekt analysieren, wodurch ein nicht authentifizierter Remote-Angreifer beliebigen Code auf einem anfälligen System ausführen kann.
Ein SOAP-Moniker ist ein spezielles Objekt in Microsoft-Technologien, das verwendet wird, um auf Webdienste zuzugreifen, die das Simple Object Access Protocol (SOAP) verwenden. SOAP ist ein Protokoll für den Austausch von strukturierten Informationen in der Implementierung von Webdiensten in Computernetzwerken. Ein SOAP-Moniker ermöglicht es einer Anwendung, Webdienstmethoden aufzurufen, als wären sie lokale Objekte. Die SOAP WSDL-Parser-Komponente ist Teil einer Software, die Web Services Description Language (WSDL) Dokumente verarbeitet. WSDL ist eine XML-basierte Sprache, die zur Beschreibung der Funktionen eines Webdienstes verwendet wird. Der Parser liest und interpretiert die WSDL-Dokumente, um die Struktur, Methoden und Protokolle des Webdienstes zu verstehen.
Der bösartige SOAP-WSDL-Inhalt wird von einem angreiferkontrollierten Server bezogen. Das .NET-Framework verarbeitet diesen Inhalt und erzeugt eine .cs-Quelldatei, die in eine Bibliothek kompiliert und von Microsoft Office als DLL geladen wird. Durch eine erfolgreiche Ausführung startet der eingefügte Code einen neuen Prozess und lädt die FinSpy-Malware herunter. Dies ermöglicht den Angreifern, vertrauliche Informationen zu sammeln oder weitere Schadsoftware zu verbreiten.
Unsere Handlungsempfehlungen:
• Aktualisierung aller Systeme: Stellen Sie sicher, dass all Ihre Systeme und Software auf dem neuesten Stand sind. Patches für bekannte Schwachstellen sollten umgehend angewendet werden.
• Schulung der Mitarbeiter: Informieren Sie Ihre Mitarbeiter über die Risiken von Phishing-Angriffen und unsicheren Dokumenten.
• Regelmäßige Sicherheitsüberprüfungen: Führen Sie regelmäßige Sicherheitsaudits durch, um Schwachstellen in Ihrer Infrastruktur zu identifizieren.
• Incident Response Plan: Stellen Sie sicher, dass Sie einen effektiven Incident Response Plan haben, falls Ihr System kompromittiert wird.