VDB-12142 · CVE-2014-1213 · BID 65286

Sophos Anti-Virus/Threat Engine Detection 3.48/10.0.11 Access Control List erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.6$0-$5k0.00

In Sophos Anti-Virus sowie Threat Engine Detection 3.48/10.0.11 (Anti-Malware Software) wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Betroffen ist ein unbekannter Teil der Komponente Access Control List Handler. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-264. Auswirkungen sind zu beobachten für Vertraulichkeit und Integrität. CVE fasst zusammen:

Sophos Anti-Virus engine (SAVi) before 3.50.1, as used in VDL 4.97G 9.7.x before 9.7.9, 10.0.x before 10.0.11, and 10.3.x before 10.3.1 does not set an ACL for certain global and session objects, which allows local users to bypass anti-virus protection, cause a denial of service (resource consumption, CPU consumption, and eventual crash) or spoof "ready for update" messages by performing certain operations on mutexes or events including (1) DataUpdateRequest, (2) MmfMutexSAV-****, (3) MmfMutexSAV-Info, (4) ReadyForUpdateSAV-****, (5) ReadyForUpdateSAV-Info, (6) SAV-****, (7) SAV-Info, (8) StateChange, (9) SuspendedSAV-****, (10) SuspendedSAV-Info, (11) UpdateComplete, (12) UpdateMutex, (13) UpdateRequest, or (14) SophosALMonSessionInstance, as demonstrated by triggering a ReadyForUpdateSAV event and modifying the UpdateComplete, UpdateMutex, and UpdateRequest objects.

Die Schwachstelle wurde am 31.01.2014 durch Graham Sutherland von Portcullis Computer Security Ltd als Vulnerability title: Denial of Service in Sophos Anti Virus in Form eines bestätigten Advisories (Website) an die Öffentlichkeit getragen. Auf portcullis-security.com kann das Advisory eingesehen werden. Die Veröffentlichung wurde in Zusammenarbeit mit dem Hersteller durchgeführt. Eine eindeutige Identifikation der Schwachstelle wird seit dem 07.01.2014 mit CVE-2014-1213 vorgenommen. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. MITRE ATT&CK führt die Angriffstechnik T1068 für diese Schwachstelle.

Ein öffentlicher Exploit wurde durch Graham Sutherland umgesetzt und sofort nach dem Advisory veröffentlicht. Unter seclists.org wird der Exploit bereitgestellt. Er wird als proof-of-concept gehandelt. Für den Vulnerability Scanner Nessus wurde am 05.02.2014 ein Plugin mit der ID 72337 (Sophos Anti-Virus Engine < 3.50.1 System Objects DoS) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet.

Ein Upgrade auf die Version 3.50 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle. Sophos hat folglich vorab reagiert.

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (72337) dokumentiert. Zusätzliche Informationen finden sich unter seclists.org.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.1
VulDB Meta Temp Score: 4.6

VulDB Base Score: 5.1
VulDB Temp Score: 4.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-264
ATT&CK: T1068

Lokal: Ja
Remote: Nein

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: Graham Sutherland
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 72337
Nessus Name: Sophos Anti-Virus Engine < 3.50.1 System Objects DoS
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍
Exploit Delay Time: 🔍

Upgrade: Anti-Virus/Threat Engine Detection 3.50

Timelineinfo

07.01.2014 🔍
21.01.2014 +14 Tage 🔍
31.01.2014 +10 Tage 🔍
31.01.2014 +0 Tage 🔍
31.01.2014 +0 Tage 🔍
31.01.2014 +0 Tage 🔍
03.02.2014 +3 Tage 🔍
05.02.2014 +2 Tage 🔍
10.02.2014 +5 Tage 🔍
17.02.2014 +7 Tage 🔍
08.06.2021 +2668 Tage 🔍

Quelleninfo

Hersteller: sophos.com

Advisory: Vulnerability title: Denial of Service in Sophos Anti Virus
Person: Graham Sutherland
Firma: Portcullis Computer Security Ltd
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍

CVE: CVE-2014-1213 (🔍)
SecurityTracker: 1029713
Vulnerability Center: 43297 - Sophos Anti-Virus engine (SAVi) before 3.50.1 and VDL Multiple Versions Local DoS or Bypass Restrictions Vulnerabilities, Medium
SecurityFocus: 65286 - Sophos Anti-Virus CVE-2014-1213 Local Denial of Service Vulnerability
OSVDB: 102762

Diverses: 🔍

Eintraginfo

Erstellt: 03.02.2014 13:31
Aktualisierung: 08.06.2021 23:39
Anpassungen: 03.02.2014 13:31 (55), 21.05.2017 14:02 (25), 08.06.2021 23:28 (3), 08.06.2021 23:39 (1)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you know our Splunk app?

Download it now for free!