微软Microsoft .NET Framework破绽漏洞bug（CVE–2017–8759）警示

变乱配景
8月24日，360焦点网络安全事业部捕获到一新型的office高档威逼入侵攻击。12日，微软停止了大规模网络安全更新，其中包括CVE-2017-8759。同一时间，FireEye也颁布了其发明的CVE-2017-8759田野应用。由于该漏洞破绽bug影响规模广，应用难度低，360CERT紧迫对其跟进阐发。收回预警传递。
风险品级
[+]重大
影响规模
Microsoft .NET Framework 4.7
Microsoft .NET Framework 4.6.2
Microsoft .NET Framework 4.6.1
Microsoft .NET Framework 4.6
Microsoft .NET Framework 4.5.2
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 3.5
Microsoft .NET Framework 2.0 SP2
漏洞破绽bug定位
CVE-2017-8759漏洞破绽bug原由于对wsdl的xml处置欠妥，假如供给的包括CRLF序列的数据，则IsValidUrl不会履行准确的验证。查阅.NET源码，定位到了成绩处置接口：

和漏洞破绽bug触发点：

函数此处天生logo.cs并挪用csc.exe停止编译为dll，捕获到cs源文件和天生的dll。

全部进程为：
1. 哀求歹意的SOAP WSDL
2. .NET Framework的System.Runtime.Remoting.ni.dll中的IsValidUrl验证欠妥
3. 歹意代码经由进程.NET Framework的System.Runtime.Remoting.ni.dll中PrintClientProxy写入cs文件。
4. csc.exe对cs文件编译为dll
5. Office加载dll
6. 履行歹意代码
漏洞破绽bug验证

修复计划
针对该漏洞破绽bug的入侵攻击样本，360网络安全卫士已在第一时间跟进查杀，请宽大用户近期不要关上来路不明的office文档，同时相干单元也必要鉴戒此类0day漏洞破绽bug的定向入侵攻击，并应用360网络安全卫士装置漏洞破绽bug补钉和进攻能够的漏洞破绽bug入侵攻击。
网络安全通知布告: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8759