Microsoft Malware Protection Engine bis 1.1.13804.0 auf 32-bit mpengine.dll erweiterte Rechte

EintraganpassenHistoryDiffjsonxmlCTI
CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
7.9$0-$5k0.00

Es wurde eine sehr kritische Schwachstelle in Microsoft Malware Protection Engine bis 1.1.13804.0 auf 32-bit (Anti-Malware Software) gefunden. Dabei betrifft es ein unbekannter Codeteil der Bibliothek mpengine.dll. Durch Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-284 vorgenommen. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

The Microsoft Malware Protection Engine running on Microsoft Forefront and Microsoft Defender on 32-bit versions of Microsoft Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, Windows 10 Gold, 1511, 1607, and 1703 does not properly scan a specially crafted file leading to memory corruption. aka "Microsoft Malware Protection Engine Remote Code Execution Vulnerability".

Die Entdeckung des Problems geschah am 23.06.2017. Die Schwachstelle wurde am 23.06.2017 durch Tavis Ormandy von Google in Form eines bestätigten Security Update Guides (Website) publiziert. Das Advisory findet sich auf portal.msrc.microsoft.com. Die Herausgabe passierte in Zusammenarbeit mit Microsoft. Die Identifikation der Schwachstelle wird seit dem 03.05.2017 mit CVE-2017-8558 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $0-$5k gehandelt werden wird (Preisberechnung vom 29.12.2020). Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1068 bezeichnet. Das Advisory weist darauf hin:

A remote code execution vulnerability exists when the Microsoft Malware Protection Engine does not properly scan a specially crafted file, leading to memory corruption. An attacker who successfully exploited this vulnerability could execute arbitrary code in the security context of the LocalSystem account and take control of the system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Ein öffentlicher Exploit wurde durch Tavis Ormandy in C realisiert und 4 Tage nach dem Advisory veröffentlicht. Er wird als proof-of-concept gehandelt. Der Exploit wird unter bugs.chromium.org zur Verfügung gestellt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $25k-$100k. Für den Vulnerability Scanner Nessus wurde am 23.06.2017 ein Plugin mit der ID 101027 (Microsoft Malware Protection Engine < 1.1.13903 RCE) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet und im Kontext local ausgeführt. Der durch den Exploit genutzte Code gestaltet sich wie folgt:

MpApiCall("NTDLL.DLL", "VFS_Write", 1, Buf, 0, 0xffffffff, 0);
MpApiCall("NTDLL.DLL", "VFS_Write", 1, Buf, 0x7ff, 0x41414141, 0);
Das Advisory zeigt auf:
To exploit this vulnerability, a specially crafted file must be scanned by an affected version of the Microsoft Malware Protection Engine. There are many ways that an attacker could place a specially crafted file in a location that is scanned by the Microsoft Malware Protection Engine. For example, an attacker could use a website to deliver a specially crafted file to the victim's system that is scanned when the website is viewed by the user. An attacker could also deliver a specially crafted file via an email message or in an Instant Messenger message that is scanned when the file is opened. In addition, an attacker could take advantage of websites that accept or host user-provided content, to upload a specially crafted file to a shared location that is scanned by the Malware Protection Engine running on the hosting server.

Ein Aktualisieren auf die Version 1.1.13903.0 vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches lösen. Dieser kann von catalog.update.microsoft.com bezogen werden. Als bestmögliche Massnahme wird das Installieren des jeweiligen Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Microsoft hat nachweislich unmittelbar gehandelt. Das Advisory stellt fest:

The update addresses the vulnerability by correcting the manner in which the Microsoft Malware Protection Engine scans specially crafted files.

Mitunter wird der Fehler auch in den Datenbanken von SecurityFocus (BID 99262), SecurityTracker (ID 1038783) und Tenable (101027) dokumentiert. Ein Bericht in deutscher Sprache wird mitunter durch Heise bereitgestellt. Weitere Informationen werden unter bugs.chromium.org bereitgestellt.

Betroffenanpassen

  • Microsoft Endpoint Protection
  • Microsoft Forefront Endpoint Protection
  • Microsoft Forefront Endpoint Protection 2010
  • Microsoft Windows Intune Endpoint Protection
  • Microsoft Windows Defender

Produktinfoanpassen

Typ

Hersteller

Name

CPE 2.3infoanpassen

CPE 2.2infoanpassen

CVSSv3infoanpassen

VulDB Meta Base Score: 8.8
VulDB Meta Temp Score: 7.9

VulDB Base Score: 9.8
VulDB Temp Score: 8.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 7.8
NVD Vector: 🔍

CVSSv2infoanpassen

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfoanpassen

Klasse: Erweiterte Rechte
CWE: CWE-284
ATT&CK: T1068

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: Tavis Ormandy
Programmiersprache: 🔍
Download: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 101027
Nessus Name: Microsoft Malware Protection Engine < 1.1.13903 RCE
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 800442
OpenVAS Name: Microsoft Malware Protection Engine Remote Code Execution Vulnerability Jul17
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Exploit-DB: 🔍

Threat Intelligenceinfoanpassen

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoanpassen

Empfehlung: Patch
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍

Upgrade: Malware Protection Engine 1.1.13903.0
Patch: catalog.update.microsoft.com

Timelineinfoanpassen

03.05.2017 🔍
23.06.2017 +51 Tage 🔍
23.06.2017 +0 Tage 🔍
23.06.2017 +0 Tage 🔍
23.06.2017 +0 Tage 🔍
23.06.2017 +0 Tage 🔍
23.06.2017 +0 Tage 🔍
24.06.2017 +1 Tage 🔍
27.06.2017 +3 Tage 🔍
27.06.2017 +0 Tage 🔍
29.06.2017 +2 Tage 🔍
29.12.2020 +1279 Tage 🔍

Quelleninfoanpassen

Hersteller: https://www.microsoft.com/

Advisory: portal.msrc.microsoft.com
Person: Tavis Ormandy
Firma: Google
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍

CVE: CVE-2017-8558 (🔍)
OVAL: 🔍

SecurityFocus: 99262 - Microsoft Malware Protection Engine CVE-2017-8558 Remote Code Execution Vulnerability
SecurityTracker: 1038783

Heise: 3756013
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍

Eintraginfoanpassen

Erstellt: 24.06.2017 08:55
Aktualisierung: 29.12.2020 16:31
Anpassungen: (3) source_cve_nvd_summary exploit_price_0day vulnerability_cvss2_nvd_basescore
Komplett: 🔍

Kommentare

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!