# CVE-2017-8759 > [!high] .NET Framework RCE via SOAP WSDL - Spear-Phishing APT10/FIN7 > Vulnerabilidade no .NET Framework que permite execução remota de código via documentos RTF maliciosos que injetam código no processador SOAP WSDL. Utilizada por APT10 e FIN7 em campanhas de spear-phishing direcionadas. ## Visão Geral CVE-2017-8759 é uma vulnerabilidade de execução remota de código no Microsoft .NET Framework que afeta o processador SOAP WSDL. A falha permite que um atacante distribua documentos RTF maliciosos que, quando abertos, invocam o processador WSDL para baixar e executar código arbitrário via URLs embutidas no documento. A exploração não requer privilégios especiais além de convencer a vítima a abrir um arquivo. Descoberta e usada como zero-day antes do patch de setembro de 2017, esta vulnerabilidade foi atribuída ao [[g0045-apt10|APT10]] (Stone Panda) em operações de espionagem industrial. O grupo a utilizou em campanhas de spear-phishing contra alvos no Japão e em parceiros de negócios de empresas japonesas ao redor do mundo - incluindo subsidiárias no Brasil. O [[fin7|FIN7]], grupo financeiramente motivado especializado em ataques ao setor de varejo e hospitalidade, também adotou o exploit em sua cadeia de ataque após a divulgação pública do código de exploração. ## Como Funciona O processador WSDL do .NET Framework (`IsValidUrl`) falha em válidar adequadamente URLs embutidas em declarações `<s:include>` do WSDL. Um documento RTF pode conter um objeto OLE apontando para um arquivo SOAP/WSDL remoto. Quando o .NET processa o WSDL, executa código contido na URL sem válidação, efetivamente baixando e executando um payload arbitrário. O mecanismo é semelhante ao [[cve-2017-0199|CVE-2017-0199]] mas via um componente diferente (.NET vs. OLE2/HTA). ## TTPs Relacionados - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - vetor principal - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - execução por usuário - [[t1059-001-powershell|T1059.001 - PowerShell]] - pós-exploração APT10 - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - download de RAT secundário ## Detecção e Defesa - Aplicar patch MS17-026 (setembro 2017) - atualização do .NET Framework - Bloquear processos filhos de `winword.exe` via regras EDR - Monitorar conexões de rede originárias de processos .NET inesperados - Aplicar [[m1049-antivirus|M1049]] com assinaturas para RTF com WSDL remoto ## Referências - [Microsoft Advisory CVE-2017-8759](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2017-8759) - [FireEye - APT10 CVE-2017-8759](https://www.fireeye.com/blog/threat-research/2017/09/apt10-targeting-japanese-corporations.html) - [MITRE ATT&CK - APT10 (G0045)](https://attack.mitre.org/groups/G0045/)