Vulnerability ID 6016

Foxit Reader 5.3.1.0606 Facebook Plugin dwmapi.dll erweiterte Rechte

CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
4.8$2k-$5k

In Foxit Reader 5.3.1.0606 wurde eine problematische Schwachstelle gefunden. Das betrifft eine unbekannte Funktion der Bibliothek dwmapi.dll der Komponente Facebook Plugin. Durch Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Das hat Auswirkungen auf Vertraulichkeit und Integrität.

Die Schwachstelle wurde am 23.08.2012 durch Kaveh Ghaemmaghami (coolkaveh) in Form eines Mailinglist Posts (Full-Disclosure) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter archives.neohapsis.com. Die Veröffentlichung wurde ohne Zusammenarbeit mit dem Hersteller durchgeführt. Eine eindeutige Identifikation der Schwachstelle wird seit dem 06.09.2012 mit CVE-2012-4759 vorgenommen. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt.

Ein öffentlicher Exploit wurde durch Kaveh Ghaemmaghami (coolkaveh) in C++ geschrieben und direkt nach dem Advisory veröffentlicht. Er wird als proof-of-concept gehandelt. Der Download des Exploits kann von archives.neohapsis.com geschehen. Als 0-Day erzielte der Exploit wohl etwa $10k-$25k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde am 12.09.2012 ein Plugin mit der ID 62064 (Foxit Reader < 5.4 Path Subversion Arbitrary DLL Injection Code Execution) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet.

Ein Upgrade auf die Version 5.4 vermag dieses Problem zu beheben. Das Problem kann auch durch den Einsatz von Adobe Acrobat oder Reader als alternatives Produkt mitigiert werden. Als bestmögliche Massnahme wird das Nutzen eines alternatives Produkts empfohlen. Das Erscheinen einer Gegenmassnahme geschah 2 Wochen nach der Veröffentlichung der Schwachstelle. Es wurde offensichtlich noch im Rahmen reagiert.

Mitunter wird der Fehler auch in den Datenbanken von SecurityFocus (BID 55177), X-Force (77929), Secunia (SA50348) und Vulnerability Center (SBV-36125) dokumentiert.

CVSSv3

Base Score: 5.1 [?]
Temp Score: 4.8 [?]
Vector: CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N/E:P/RL:U/RC:X [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 3.3 (CVSS2#AV:L/AC:M/Au:N/C:P/I:P/A:N) [?]
Temp Score: 3.0 (CVSS2#E:POC/RL:U/RC:ND) [?]
Zuverlässigkeit: High

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Klasse: Erweiterte Rechte
Lokal: Ja
Remote: Nein

Verfügbarkeit: Ja
Zugang: öffentlich
Status: Proof-of-Concept
Programmiersprache: C++
Autor: Kaveh Ghaemmaghami (coolkaveh)
Download: archives.neohapsis.com

Aktuelle Preisschätzung: $10k-$25k (0-day) / $2k-$5k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k


Nessus ID: 62064
Nessus Name: Foxit Reader < 5.4 Path Subversion Arbitrary DLL Injection Code Execution
Nessus File: foxit_reader_5_4.nasl
Nessus Family: Windows

Gegenmassnahmen

Empfehlung: Alternative
Status: Nicht verfügbar
Reaction Time: 14 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 14 Tage seit bekannt
Exploit Delay Time: 0 Tage seit bekannt

Upgrade: Reader 5.4
Alternative: Adobe Acrobat/Reader
Fortigate IPS: 36543

Timeline

09.03.2012 VulnerabilityCenter Eintrag zugewiesen
23.08.2012 +167 Tage Advisory veröffentlicht
23.08.2012 +0 Tage Exploit veröffentlicht
24.08.2012 +1 Tage OSVDB Eintrag erstellt
28.08.2012 +4 Tage VulDB Eintrag erstellt
06.09.2012 +9 Tage Gegenmassnahme veröffentlicht
06.09.2012 +0 Tage CVE zugewiesen
06.09.2012 +0 Tage NVD veröffentlicht
12.09.2012 +6 Tage Nessus Plugin veröffentlicht
13.09.2012 +1 Tage VulnerabilityCenter Eintrag erstellt
05.06.2014 +630 Tage VulnerabilityCenter Eintrag aktualisiert
08.07.2015 +399 Tage VulDB Eintrag aktualisiert

Quellen

Advisory: archives.neohapsis.com
Person: Kaveh Ghaemmaghami (coolkaveh)

CVE: CVE-2012-4759 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 55177
Secunia: 50348 - Foxit Reader Facebook Plugin Insecure Library Loading Vulnerability, Highly Critical
X-Force: 77929
Vulnerability Center: 36125 - Foxit Reader 5.3.1.0606 Facebook Plug-In Local Privileges Escalation via a Trojan Horse dwmapi.dll, Medium
OSVDB: 84865 - Foxit Reader Facebook Plugin dwmapi.dll Path Subversion Arbitrary DLL Injection Code Execution

Eintrag

Erstellt: 28.08.2012
Aktualisierung: 08.07.2015
Eintrag: 93.9% komplett