Vulnerability ID 6299

Microsoft Internet Explorer 6/7/8/9 HTML Handler mshtml.dll CMshtmlEd::Exec() Pufferüberlauf

Microsoft
CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
7.1$0-$1k

Eine Schwachstelle wurde in Microsoft Internet Explorer 6/7/8/9, ein Webbrowser, ausgemacht. Sie wurde als sehr kritisch eingestuft. Hierbei geht es um die Funktion CMshtmlEd::Exec() der Bibliothek mshtml.dll der Komponente HTML Handler. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

Use-after-free vulnerability in the CMshtmlEd::Exec function in mshtml.dll in Microsoft Internet Explorer 6 through 9 allows remote attackers to execute arbitrary code via a crafted web site, as exploited in the wild in September 2012.

Die Schwachstelle wurde am 16.09.2012 durch Eric Romang als Zero-Day Season Is Really Not Over Yet in Form eines Blog Posts (Website) herausgegeben. Auf eromang.zataz.com kann das Advisory eingesehen werden. Eine Veröffentlichung wurde nicht in Zusammenarbeit mit Microsoft angestrebt. Die Verwundbarkeit wird seit dem 18.09.2012 mit der eindeutigen Identifikation CVE-2012-4969 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt. Die Ausprägung dieser Schwachstelle führt zu einem gewissen historischen Interesse an ihr. Eric Romang schreibt in seinem Blog Post: "Less than three weeks after the discovery of the Java SE 7 0day, aka CVE-2012-4681, potentially used by the Nitro gang in targeted attacks, a potential Microsoft Internet Explorer 7 and 8 zero-day is actually exploited in the wild."

Ein öffentlicher Exploit wurde in HTML programmiert und 1 Tage nach dem Advisory veröffentlicht. Er wird als hoch funktional gehandelt. Unter dev.metasploit.com wird der Exploit zum Download angeboten. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $50k-$100k. Die automatisierte Ausnutzung der Schwachstelle kann durch einen dafür entwickelten Computerwurm geschehen. Für den Vulnerability Scanner Nessus wurde am 19.09.2012 ein Plugin mit der ID 62201 (MS KB2757760: Vulnerability in Internet Explorer Could Allow Remote Code Execution (deprecated)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 100127 zur Prüfung der Schwachstelle an.

Ein Aktualisieren auf die Version 10 vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen des Patches MS12-063 lösen. Dieser kann von technet.microsoft.com bezogen werden. Mit der Einstellung Restricted Mode kann das Problem zusätzlich adressiert werden. Das Problem kann ebenfalls durch den Einsatz von Google Chrome, Mozilla Firefox, Opera oder Apple Safari als alternatives Produkt mitigiert werden. Als bestmögliche Massnahme wird das Ändern der Konfiguration empfohlen. Das Erscheinen einer Gegenmassnahme geschah 1 Tage nach der Veröffentlichung der Schwachstelle. Es wurde demzufolge unmittelbar gehandelt. Angriffe können durch Snort ID 27040 erkannt werden. Weiterführend können Angriffe durch TippingPoint mittels dem Filter 12576 erkannt werden.

Mitunter wird der Fehler auch in den Datenbanken von SecurityFocus (BID 55562), X-Force (78598), Secunia (SA50626), SecurityTracker (ID 1027538) und Vulnerability Center (SBV-36141) dokumentiert. Das Nachrichtenportal Heise veröffentlichte ebenfalls einen Artikel hierzu. Unter nakedsecurity.sophos.com werden zusätzliche Informationen bereitgestellt.

Screenshot


Video


CVSSv3

Base Score: 7.3 [?]
Temp Score: 7.1 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:H/RL:W/RC:X [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 6.5 (CVSS2#E:H/RL:W/RC:ND) [?]
Zuverlässigkeit: High

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Ja
Zugang: öffentlich
Status: Hoch funktional
Wormified: Ja
Programmiersprache: HTML
Download: dev.metasploit.com

Aktuelle Preisschätzung: $50k-$100k (0-day) / $0-$1k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k


Nessus ID: 62201
Nessus Name: MS KB2757760: Vulnerability in Internet Explorer Could Allow Remote Code Execution (deprecated)
Nessus File: smb_kb2757760.nasl
Nessus Family: Windows
OpenVAS ID: 803028
OpenVAS Name: Microsoft Internet Explorer Remote Code Execution Vulnerability (2757760)
OpenVAS File: gb_ms_ie_code_exec_vuln_vuln.nasl
OpenVAS Family: Windows : Microsoft Bulletins

Saint ID: exploit_info/ie_cmshtmled_exec_uaf
Saint Name: Internet Explorer CMshtmlEd execCommand Use After Free

Qualys ID: 100127

MetaSploit ID: ie_execcommand_uaf.rb
MetaSploit File: metasploit-framework/modules/exploits/windows/browser/ie_execcommand_uaf.rb
MetaSploit Name: MS12-063 Microsoft Internet Explorer execCommand Use-After-Free Vulnerability

Exploit-DB: 21840

Gegenmassnahmen

Empfehlung: Config
Status: Workaround
Reaction Time: 1 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 1 Tage seit bekannt
Exploit Delay Time: 1 Tage seit bekannt

Upgrade: Internet Explorer 10
Patch: MS12-063
Config: Restricted Mode
Alternative: Google Chrome/Mozilla Firefox/Opera/Apple Safari

Snort ID: 27040
Snort Class: trojan-activity
Snort Message: EXPLOIT-KIT Styx exploit kit plugin detection connection jorg

Suricata ID: 2015711
Suricata Class: attempted-user
Suricata Message: ET CURRENT_EVENTS Internet Explorer execCommand function Use after free Vulnerability 0day

TippingPoint: 12576

ISS Proventia IPS: 2114440

PaloAlto IPS: 35017

Fortigate IPS: 33269

Timeline

16.09.2012 Advisory veröffentlicht
16.09.2012 +0 Tage VulnerabilityCenter Eintrag zugewiesen
17.09.2012 +1 Tage Hersteller bestätigt
17.09.2012 +0 Tage Exploit veröffentlicht
17.09.2012 +0 Tage Gegenmassnahme veröffentlicht
17.09.2012 +0 Tage OSVDB Eintrag erstellt
18.09.2012 +1 Tage VulDB Eintrag erstellt
18.09.2012 +0 Tage CVE zugewiesen
18.09.2012 +0 Tage NVD veröffentlicht
19.09.2012 +1 Tage VulnerabilityCenter Eintrag erstellt
19.09.2012 +0 Tage Nessus Plugin veröffentlicht
10.06.2015 +994 Tage VulnerabilityCenter Eintrag aktualisiert
02.05.2016 +327 Tage VulDB Eintrag aktualisiert

Quellen

Advisory: Zero-Day Season Is Really Not Over Yet
Person: Eric Romang
Bestätigung: technet.microsoft.com

CVE: CVE-2012-4969 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 55562
Secunia: 50626 - Microsoft Internet Explorer Multiple Vulnerabilities, Extremely Critical
X-Force: 78598
SecurityTracker: 1027538 - Microsoft Internet Explorer execCommand Flaw Lets Remote Users Execute Arbitrary Code
Vulnerability Center: 36141 - [MS12-063] Internet Explorer 6-9 CMshtmlEd::Exec Remote Code Execution Zero Day Vulnerability, Critical
OSVDB: 85532 - Microsoft IE CMshtmlEd::Exec() Function Use-after-free Remote Code Execution

Heise: 1709371
Diverses: nakedsecurity.sophos.com

Eintrag

Erstellt: 18.09.2012
Aktualisierung: 02.05.2016
Eintrag: 100% komplett