Microsoft Office 2007/2010/2013/2016 RTF Document Necurs Dridex تجاوز الصلاحيات
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 6.9 | $0-$5k | 0.00 |
الملخص
تم أكتشاف ثغرة أمنية في Microsoft Office 2007/2010/2013/2016. وقد تم تصنيفها على أنها خطيرة جداً. الثغرة الأمنية متواجدة في دالة غير معروفة من العنصر RTF Document Handler. تؤدي عملية التلاعب إلى تجاوز الصلاحيات (Necurs Dridex). أسم الثغرة الأمنية هوCVE-2017-0199. يمكن البدأ بالهجوم هذا عن بعد. بالإضافة إلى ذلك، يتوفر استغلال. لهذه الثغرة تأثير تاريخي بسبب خلفيتها واستقبالها. توجد دودة تقوم بالانتشار تلقائيًا من خلال استغلال هذه الثغرة. يُفضل تثبيت تحديث لحل هذه المشكلة.
التفاصيل
تم أكتشاف ثغرة أمنية في Microsoft Office 2007/2010/2013/2016. وقد تم تصنيفها على أنها خطيرة جداً. الثغرة الأمنية متواجدة في دالة غير معروفة من العنصر RTF Document Handler. تؤدي عملية التلاعب إلى تجاوز الصلاحيات (Necurs Dridex). تعريف الـ سي دبليو أي للثغرة الأمنية هو CWE-284. تم اكتشاف الخلل بتاريخ 11/04/2017. تم الإعلان عن الثغرة 07/04/2017 من قبل Haifei Li (SecuriTeam) من خلال McAfee تحت Critical Office Zero-Day Attacks Detected in the Wild كنوع Article (موقع إلكتروني). يمكن عرض الاستشارة من هنا securingtomorrow.mcafee.com. تم النشر العلني دون تنسيق مع البائع.
أسم الثغرة الأمنية هوCVE-2017-0199. تم تخصيص CVE في 09/09/2016. يمكن البدأ بالهجوم هذا عن بعد. لا تتوفر معلومات تقنية. مستوى شهرة هذه الثغرة يتجاوز المتوسط. بالإضافة إلى ذلك، يتوفر استغلال. تم إتاحة الاستغلال للجمهور وقد يتم استغلاله. يعلن مشروع MITRE ATT&CK عن تقنية الهجوم كـ T1068. لهذه الثغرة تأثير تاريخي بسبب خلفيتها واستقبالها. وقد أشار الاستشاري إلى أن:
Yesterday, we observed suspicious activities from some samples. After quick but in-depth research, this morning we have confirmed these samples are exploiting a vulnerability in Microsoft Windows and Office that is not yet patched.
في حال وجود فعالة للغاية، يتم الإعلان عنه كـ فعالة للغاية. تستطيع تحميل الإكسبلويت من هنا exploit-db.com. تمت معالجة الثغرة كاستغلال يوم-صفر خاص لمدة لا تقل عن 188 يومًا. كسعر لثغرة يوم الصفر، قُدّر السعر في السوق السوداء بحوالي $25k-$100k. توجد دودة تقوم بالانتشار تلقائيًا من خلال استغلال هذه الثغرة. الكود الخاص بالاستغلال هو:
ministream_data << "01000002090000000100000000000000" # 00000000: ................ ministream_data << "0000000000000000a4000000e0c9ea79" # 00000010: ...............y ministream_data << "f9bace118c8200aa004ba90b8c000000" # 00000020: .........K...... ministream_data << generate_uri ministream_data << "00000000795881f43b1d7f48af2c825d" # 000000a0: ....yX..;..H.,.] ministream_data << "c485276300000000a5ab0000ffffffff" # 000000b0: ..'c............ ministream_data << "0609020000000000c000000000000046" # 000000c0: ...............F ministream_data << "00000000ffffffff0000000000000000" # 000000d0: ................ ministream_data << "906660a637b5d2010000000000000000" # 000000e0: .f`.7........... ministream_data << "00000000000000000000000000000000" # 000000f0: ................ ministream_data << "100203000d0000000000000000000000" # 00000100: ................ ministream_data << "00000000000000000000000000000000" # 00000110: ................ ministream_data << "00000000000000000000000000000000" # 00000120: ................ ministream_data << "00000000000000000000000000000000" # 00000130: ................ ministream_data << "00000000000000000000000000000000" # 00000140: ................ ministream_data << "00000000000000000000000000000000" # 00000150: ................ ministream_data << "00000000000000000000000000000000" # 00000160: ................ ministream_data << "00000000000000000000000000000000" # 00000170: ................ ministream_data << "00000000000000000000000000000000" # 00000180: ................ ministream_data << "00000000000000000000000000000000" # 00000190: ................ ministream_data << "00000000000000000000000000000000" # 000001a0: ................ ministream_data << "00000000000000000000000000000000" # 000001b0: ................ ministream_data << "00000000000000000000000000000000" # 000001c0: ................ ministream_data << "00000000000000000000000000000000" # 000001d0: ................ ministream_data << "00000000000000000000000000000000" # 000001e0: ................ ministream_data << "00000000000000000000000000000000" # 000001f0: ................في حال وجود The samples we have detected are organized as Word files (more specially, RTF files with “.doc” extension name). (...) The exploit connects to a remote server (controlled by the attacker), downloads a file that contains HTML application content, and executes it as an .hta file. Because .hta is executable, the attacker gains full code execution on the victim’s machine. Thus, this is a logical bug, and gives the attackers the power to bypass any memory-based mitigations developed by Microsoft.، فإن الإشعار يذكر ما يلي:
The samples we have detected are organized as Word files (more specially, RTF files with “.doc” extension name). (...) The exploit connects to a remote server (controlled by the attacker), downloads a file that contains HTML application content, and executes it as an .hta file. Because .hta is executable, the attacker gains full code execution on the victim’s machine. Thus, this is a logical bug, and gives the attackers the power to bypass any memory-based mitigations developed by Microsoft.يوفر ماسح الثغرات Nessus إضافة بالمعرف 99285. أنها مصنفة إلى عائلةWindows : Microsoft Bulletins. يعمل البرنامج الإضافي في بيئة النوع l. خدمة فحص الشبكات كويلس يمكنها الكشف عن هذه الثغرة الأمنية بواسطة ملحق110297 (Microsoft Office and Microsoft Office Services and Web Apps Security Update April 2017).
تصحيح المشكلة هذه يمكن تحميله من هنا portal.msrc.microsoft.com. يُفضل تثبيت تحديث لحل هذه المشكلة. تم توفير إجراء وقائي محتمل 4 أيام بعد إعلان الثغرة. يحتوي التنبيه على الملاحظة التالية:
Do not open any Office files obtained from untrusted locations. According to our tests, this active attack cannot bypass the Office Protected View, so we suggest everyone ensure that Office Protected View is enabled.
إذا كانت قائمة قواعد بيانات المصدر تحتوي على عناصر، فإن الثغرة موثقة أيضًا في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 97498), SecurityTracker (ID 1038224) , Tenable (99285).
متأثر
- Microsoft Office 2007/2010/2013/2016
- Microsoft Wordpad
منتج
النوع
المجهز
الأسم
النسخة
الرخصة
موقع إلكتروني
- المجهز: https://www.microsoft.com/
CPE 2.3
CPE 2.2
لقطة شاشة
فيديو
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 7.0VulDB الدرجة المؤقتة للميتا: 6.9
VulDB الدرجة الأساسية: 6.3
VulDB الدرجة المؤقتة: 6.0
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 7.8
NVD متجه: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الأسم: Necurs Dridexالفئة: تجاوز الصلاحيات / Necurs Dridex
CWE: CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
ملموس: جزئي
محلي: نعم
عن بُعد: نعم
التوفر: 🔍
وصول: عام
الحالة: تعرض للهجوم
Wormified: 🔍
الاعتمادية: 🔍
لغة البرمجة: 🔍
تحميل: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV تمت الإضافة: 🔍
KEV حتى متى: 🔍
KEV معالجة: 🔍
KEV Ransomware: 🔍
KEV إشعار: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
Nessus ID: 99285
Nessus الأسم: Windows Server 2012 April 2017 Security Updates (Petya)
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
Nessus Context: 🔍
OpenVAS ID: 800218
OpenVAS الأسم: Microsoft Windows Monthly Rollup (KB4015551)
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍
Saint ID: microsoft_word_wordpad_rtf
Saint الأسم: Microsoft Word and WordPad RTF HTA handler command execution
Qualys ID: 🔍
Qualys الأسم: 🔍
MetaSploit ID: office_word_hta.rb
MetaSploit الأسم: Microsoft Office Word Malicious Hta Execution
MetaSploit ملف: 🔍
Exploit-DB: 🔍
Zero-Day.cz: 🔍
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: تصحيحالحالة: 🔍
زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍
وقت تأخير الاستغلال: 🔍
تصحيح: portal.msrc.microsoft.com
Suricata ID: 2024224
Suricata الفئة: 🔍
Suricata رسالة: 🔍
الجدول الزمني
09/09/2016 🔍01/10/2016 🔍
07/04/2017 🔍
07/04/2017 🔍
11/04/2017 🔍
11/04/2017 🔍
11/04/2017 🔍
11/04/2017 🔍
11/04/2017 🔍
12/04/2017 🔍
25/04/2017 🔍
25/04/2017 🔍
09/09/2024 🔍
المصادر
المجهز: microsoft.comاستشارة: Critical Office Zero-Day Attacks Detected in the Wild
باحث: Haifei Li (SecuriTeam)
منظمة: McAfee
الحالة: مؤكد
تأكيد: 🔍
CVE: CVE-2017-0199 (🔍)
GCVE (CVE): GCVE-0-2017-0199
GCVE (VulDB): GCVE-100-99533
OVAL: 🔍
SecurityFocus: 97498 - Microsoft Office OLE Feature Remote Code Execution Vulnerability
SecurityTracker: 1038224
scip Labs: https://www.scip.ch/en/?labs.20161013
متفرقات: 🔍
اقرأ أيضاً: 🔍
إدخال
تم الإنشاء: 11/04/2017 09:31 AMتم التحديث: 09/09/2024 10:29 PM
التغييرات: 11/04/2017 09:31 AM (124), 21/10/2019 06:16 PM (2), 28/11/2022 08:52 AM (4), 19/04/2024 07:13 AM (22), 06/07/2024 08:25 AM (2), 24/07/2024 09:16 PM (1), 09/09/2024 10:29 PM (2)
كامل: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق