Vulnerability ID 3860

Microsoft Windows Path Canonicalisation Pufferüberlauf

Microsoft
CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
6.8$0-$1k

Microsoft Windows ist ein Markenname für Betriebssysteme der Firma Microsoft. Ursprünglich war Microsoft Windows eine grafische Erweiterung des Betriebssystems MS-DOS (wie zum Beispiel auch GEM oder PC/GEOS), inzwischen hat Microsoft das DOS-Fundament aber völlig aufgegeben und setzt ausschließlich auf Windows-NT-Betriebssystemversionen. Unlängst meldete Microsoft eine massive Schwachstelle in der Datei netapi32.dll, bei der durch eine fehlerhafte Behandlung von Pfaden eine Pufferüberlauf auftrat, der mittels RPC ausgenutzt werden konnte. Nach einigen Wirren über den effektiven Impact und die Reliablitlity der Schwachstelle, wurde bekannt dass auf einigen Zielsystemen ein authorisieter Benutzer notwendig ist (z.B. Vista/Server 2008) während die Schwachstelle anderweitig auch ohne legitimen Benutzer ausgenutzt werden konnte. Bei einem erfolgreichen Exploit kann ein Angreifer beliebigen Code zur Ausführung bringen. The vulnerability is also documented in the databases at SecurityFocus (BID 31874), X-Force (46040), Secunia (SA32326), SecurityTracker (ID 1021091) and Vulnerability Center (SBV-19848).

Für den Vulnerability Scanner Nessus wurde am 23.10.2008 ein Plugin mit der ID 34476 (MS08-067: Microsoft Windows Server Service Crafted RPC Request Handling Unspecified Remote Code Execution (958644)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet und im Kontext local ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 90464 zur Prüfung der Schwachstelle an.

Diese Schwachstelle wurde am 4. November auf die Stufe "sehr kritisch" eskaliert Viel Verwirrung herrschte im Umfeld dieser Schwachstelle, vor allem im Anbetracht der effektiven Ausnutzungsgefahr. Nachdem ursprünglich von einem 0-Day die Rede war, der lediglich spezifische regional abhängige Versionen betreffen sollte und zudem einen authorisierten Benutzer erfordern würde, ist mittlerweile bekannt dass die Schwachstelle relativ breit gestreut eingesetzt werden kann. Wir empfehlen daher das sofortige Einspielen entsprechender Updates sowie das Ergreifend zusätzlicher Massnahmen (z.B. Firewalling) zur Minimierung der Exposition schützenswerter Systeme.

Video


CVSSv3

Base Score: 7.3 [?]
Temp Score: 6.8 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:F/RL:O/RC:C [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.6 (CVSS2#E:F/RL:OF/RC:C) [?]
Zuverlässigkeit: High

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Klasse: Pufferüberlauf (CWE-94)
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja

Verfügbarkeit: Ja
Status: Funktional
Download: exploit-db.com

Aktuelle Preisschätzung: $50k-$100k (0-day) / $0-$1k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k


Nessus ID: 34476
Nessus Name: MS08-067: Microsoft Windows Server Service Crafted RPC Request Handling Unspecified Remote Code Execution (958644)
Nessus File: smb_kb958644.nasl
Nessus Family: Windows : Microsoft Bulletins
Nessus Context: local
OpenVAS ID: 900091
OpenVAS Name: kb_smb_name(
OpenVAS File: conficker.nasl
OpenVAS Family: Malware

Saint ID: exploit_info/windows_server_service_ms08067
Saint Name: Windows Server Service buffer overflow MS08-067

Qualys ID: 90464

MetaSploit ID: ms08_067_netapi.rb
MetaSploit File: metasploit-framework/modules/exploits/windows/smb/ms08_067_netapi.rb
MetaSploit Name: MS08-067 Microsoft Server Service Relative Path Stack Corruption

Exploit-DB: 7132

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Patch: MS08-067

Snort ID: 14896
Snort Message: NETBIOS-DG SMB v4 srvsvc NetrpPathCononicalize unicode path cononicalization stack overflow attempt
Snort Pattern: |11|

Suricata ID: 2008690
Suricata Class: attempted-admin
Suricata Message: ET NETBIOS Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (1)

TippingPoint: 3014

ISS Proventia IPS: 2118139

PaloAlto IPS: 31922

Fortigate IPS: 24902

Timeline

25.09.2008 CVE zugewiesen
23.10.2008 +28 Tage Advisory veröffentlicht
23.10.2008 +0 Tage NVD veröffentlicht
23.10.2008 +0 Tage VulnerabilityCenter Eintrag zugewiesen
23.10.2008 +0 Tage Nessus Plugin veröffentlicht
23.10.2008 +1 Tage OSVDB Eintrag erstellt
26.10.2008 +2 Tage VulnerabilityCenter Eintrag erstellt
29.10.2008 +3 Tage VulDB Eintrag erstellt
15.02.2015 +2300 Tage VulnerabilityCenter Eintrag aktualisiert
08.07.2015 +143 Tage VulDB Eintrag aktualisiert

Quellen

Advisory: MS08-067
Firma: Microsoft
Status: Bestätigt

CVE: CVE-2008-4250 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 31874
Secunia: 32326 - Microsoft Windows Path Canonicalisation Vulnerability, Highly Critical
X-Force: 46040 - Microsoft Windows Server Service RPC code execution, High Risk
SecurityTracker: 1021091
Vulnerability Center: 19848 - [MS08-067] Microsoft Windows Server Service Remote Code Execution via Crafted RPC Request, Critical
OSVDB: 49243
Vupen: ADV-2008-2902

Eintrag

Erstellt: 29.10.2008
Aktualisierung: 08.07.2015
Eintrag: 100% komplett