Vulnerability ID 2581

Trend Micro OfficeScan Corporate 7.3 ATXCONSOLE.OCX Format String

Trend Micro
CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
3.0$0-$1k

TrendMicro OfficeScan ist eine kommerzielle Antiviren-Lösung, die gerne im professionellen Umfeld eingesetzt wird. Unter Umständen kann so auf Arbeitsplatzrechnern ein Antiviren-Schutz forciert und dadurch der ungewollte oder gewollte Umgang mit korruptem Programmcode (Viren, Trojanische Pferde und Angriffs-Tools) unterbunden werden. Deral Heiland weist darauf hin, dass das ActiveX Control ATXCONSOLE.OCX eine Format String-Schwachstelle aufweist. Der Angriff kann ausgeführt werden, in dem eine korrupte Anfrage an die Install Name Search der Management Console geschickt wird. Weitere Details oder ein Exploit sind nicht bekannt. TrendMicro hat den Patch 1 für die aktuelle Version 7.3 herausgegeben. The vulnerability is also documented in the databases at SecurityFocus (BID 20284), X-Force (29308), Secunia (SA22224), SecurityTracker (ID 1016963) and Vulnerability Center (SBV-12872). Entries connected to this vulnerability are available at 2583, 32666, 33516 and 33517.

Für den Vulnerability Scanner Nessus wurde am 14.07.2006 ein Plugin mit der ID 22048 (Trend Micro OfficeScan 7.3 Multiple Vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CGI abuses zugeordnet und im Kontext remote ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 115425 zur Prüfung der Schwachstelle an.

Diese Schwachstelle ist interessant und zeigt, dass auch normale Client-Software für indirekte Angriffe genutzt werden kann. Umso erschreckender ist, dass diese Schwachstelle so einfach herbeigeführt werden kann. Dies ist eindeutig auf Unachtsamkeit von Seiten der Software-Entwickler zurückzuführen.

CVSSv3

Base Score: 3.4 [?]
Temp Score: 3.0 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:R/UI:N/S:U/C:L/I:L/A:L/E:U/RL:O/RC:C [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 2.8 (CVSS2#AV:N/AC:M/Au:R/C:P/I:P/A:P) [?]
Temp Score: 2.1 (CVSS2#E:U/RL:OF/RC:C) [?]
Zuverlässigkeit: High

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Klasse: Format String
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein
Status: Unbewiesen

Aktuelle Preisschätzung: $10k-$25k (0-day) / $0-$1k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k


Nessus ID: 22048
Nessus Name: Trend Micro OfficeScan 7.3 Multiple Vulnerabilities
Nessus File: trendmicro_officescan_multiple.nasl
Nessus Family: CGI abuses
Nessus Context: remote
Qualys ID: 115425

Gegenmassnahmen

Empfehlung: Patch
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Patch: trendmicro.com

Snort ID: 8444
Snort Message: WEB-MISC Trend Micro atxconsole format string server response attempt
Snort Pattern: -99 Cannot+find+
TippingPoint: 5089
Fortigate IPS: 14517

Timeline

14.07.2006 Nessus Plugin veröffentlicht
01.10.2006 +79 Tage VulnerabilityCenter Eintrag zugewiesen
02.10.2006 +1 Tage Advisory veröffentlicht
02.10.2006 +0 Tage OSVDB Eintrag erstellt
03.10.2006 +1 Tage CVE zugewiesen
04.10.2006 +1 Tage VulDB Eintrag erstellt
05.10.2006 +1 Tage NVD veröffentlicht
10.10.2006 +5 Tage VulnerabilityCenter Eintrag erstellt
19.08.2014 +2870 Tage VulnerabilityCenter Eintrag aktualisiert
07.07.2015 +323 Tage VulDB Eintrag aktualisiert

Quellen

Advisory: layereddefense.com
Person: Deral Heiland
Firma: Layered Defense
Status: Bestätigt

CVE: CVE-2006-5157 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 20284 - Trend Micro OfficeScan ATXCONSOLE.OCX ActiveX Control Format String Vulnerability
Secunia: 22224 - OfficeScan Corporate Edition "ATXCONSOLE.OCX" Format String Vulnerability, Moderately Critical
X-Force: 29308 - Trend Micro OfficeScan Corporate Edition ATXCONSOLE.OCX format string, High Risk
SecurityTracker: 1016963 - Trend Micro OfficeScan Corporate Edition Format String Flaw in 'ATXCONSOLE.OCX' Lets Remote Users Execute Arbitrary Code
Vulnerability Center: 12872 - Trend Micro OfficeScan Corporate Edition Format String Vulnerability Allow Remote Code Execution, Medium
OSVDB: 29422
Vupen: ADV-2006-3870

Siehe auch: 2583, 32666, 33516, 33517

Eintrag

Erstellt: 04.10.2006
Aktualisierung: 07.07.2015
Eintrag: 98.5% komplett