Microsoft Office 2007/2010/2013/2016 RTF Document Necurs Dridex erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.9 | $0-$5k | 0.00 |
Eine Schwachstelle wurde in Microsoft Office 2007/2010/2013/2016 (Office Suite Software) entdeckt. Sie wurde als sehr kritisch eingestuft. Betroffen davon ist ein unbekannter Codeteil der Komponente RTF Document Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Necurs Dridex) ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-284. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Gefunden wurde das Problem am 11.04.2017. Die Schwachstelle wurde am 07.04.2017 durch Haifei Li (SecuriTeam) von McAfee als Critical Office Zero-Day Attacks Detected in the Wild in Form eines bestätigten Articles (Website) herausgegeben. Bereitgestellt wird das Advisory unter securingtomorrow.mcafee.com. Eine Veröffentlichung wurde nicht in Zusammenarbeit mit Microsoft angestrebt. Die Verwundbarkeit wird seit dem 09.09.2016 mit der eindeutigen Identifikation CVE-2017-0199 gehandelt. Die Schwachstelle ist sehr beliebt, und dies trotz ihrer hohen Komplexität. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten (Preisberechnung vom 19.04.2024). Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1068 aus. Die spezielle Ausprägung dieser Schwachstelle führt dazu, dass ihr ein gewisses historisches Interesse beigemessen werden kann. Das Advisory weist darauf hin:
Yesterday, we observed suspicious activities from some samples. After quick but in-depth research, this morning we have confirmed these samples are exploiting a vulnerability in Microsoft Windows and Office that is not yet patched.Ein öffentlicher Exploit wurde in Python realisiert und 3 Wochen nach dem Advisory veröffentlicht. Der Exploit kann von exploit-db.com heruntergeladen werden. Er wird als hoch funktional gehandelt und gilt gemeinhin als sehr zuverlässig. Es dauerte mindestens 188 Tage, bis diese Zero-Day Schwachstelle öffentlich gemacht wurde. Während dieser Zeit erzielte er wohl etwa $25k-$100k auf dem Schwarzmarkt. Ein eigens entwickelter Wurm ist bekannt, der die automatisierte Ausnutzung der Schwachstelle vorantreibt. Für den Vulnerability Scanner Nessus wurde am 11.04.2017 ein Plugin mit der ID 99285 (Windows Server 2012 April 2017 Security Updates (Petya)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 110297 (Microsoft Office and Microsoft Office Services and Web Apps Security Update April 2017) zur Prüfung der Schwachstelle an. Der durch den Exploit genutzte Code gestaltet sich wie folgt:
ministream_data << "01000002090000000100000000000000" # 00000000: ................ ministream_data << "0000000000000000a4000000e0c9ea79" # 00000010: ...............y ministream_data << "f9bace118c8200aa004ba90b8c000000" # 00000020: .........K...... ministream_data << generate_uri ministream_data << "00000000795881f43b1d7f48af2c825d" # 000000a0: ....yX..;..H.,.] ministream_data << "c485276300000000a5ab0000ffffffff" # 000000b0: ..'c............ ministream_data << "0609020000000000c000000000000046" # 000000c0: ...............F ministream_data << "00000000ffffffff0000000000000000" # 000000d0: ................ ministream_data << "906660a637b5d2010000000000000000" # 000000e0: .f`.7........... ministream_data << "00000000000000000000000000000000" # 000000f0: ................ ministream_data << "100203000d0000000000000000000000" # 00000100: ................ ministream_data << "00000000000000000000000000000000" # 00000110: ................ ministream_data << "00000000000000000000000000000000" # 00000120: ................ ministream_data << "00000000000000000000000000000000" # 00000130: ................ ministream_data << "00000000000000000000000000000000" # 00000140: ................ ministream_data << "00000000000000000000000000000000" # 00000150: ................ ministream_data << "00000000000000000000000000000000" # 00000160: ................ ministream_data << "00000000000000000000000000000000" # 00000170: ................ ministream_data << "00000000000000000000000000000000" # 00000180: ................ ministream_data << "00000000000000000000000000000000" # 00000190: ................ ministream_data << "00000000000000000000000000000000" # 000001a0: ................ ministream_data << "00000000000000000000000000000000" # 000001b0: ................ ministream_data << "00000000000000000000000000000000" # 000001c0: ................ ministream_data << "00000000000000000000000000000000" # 000001d0: ................ ministream_data << "00000000000000000000000000000000" # 000001e0: ................ ministream_data << "00000000000000000000000000000000" # 000001f0: ................Das Advisory zeigt auf:
The samples we have detected are organized as Word files (more specially, RTF files with “.doc” extension name). (...) The exploit connects to a remote server (controlled by the attacker), downloads a file that contains HTML application content, and executes it as an .hta file. Because .hta is executable, the attacker gains full code execution on the victim’s machine. Thus, this is a logical bug, and gives the attackers the power to bypass any memory-based mitigations developed by Microsoft. Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Dieser kann von portal.msrc.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah 4 Tage nach der Veröffentlichung der Schwachstelle. Microsoft hat so ziemlich schnell gehandelt. Das Advisory stellt fest:
Do not open any Office files obtained from untrusted locations. According to our tests, this active attack cannot bypass the Office Protected View, so we suggest everyone ensure that Office Protected View is enabled.Unter anderem wird der Fehler auch in den Datenbanken von Tenable (99285) und Exploit-DB (41934) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall. Unter arstechnica.com werden zusätzliche Informationen bereitgestellt. Die Schwachstellen 99653, 99654, 99655 und 99656 sind ähnlich.
Betroffen
- Microsoft Office 2007/2010/2013/2016
- Microsoft Wordpad
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
Screenshot
Video
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.0VulDB Meta Temp Score: 6.9
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Name: Necurs DridexKlasse: Erweiterte Rechte / Necurs Dridex
CWE: CWE-284 / CWE-266
ATT&CK: T1068
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Wormified: 🔍
Zuverlässigkeit: 🔍
Programmiersprache: 🔍
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Hinzugefügt: 🔍
KEV Bis wann: 🔍
KEV Massnahmen: 🔍
KEV Ransomware: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 99285
Nessus Name: Windows Server 2012 April 2017 Security Updates (Petya)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 800218
OpenVAS Name: Microsoft Windows Monthly Rollup (KB4015551)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Saint ID: microsoft_word_wordpad_rtf
Saint Name: Microsoft Word and WordPad RTF HTA handler command execution
Qualys ID: 🔍
Qualys Name: 🔍
MetaSploit ID: office_word_hta.rb
MetaSploit Name: Microsoft Office Word Malicious Hta Execution
MetaSploit Datei: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍
Patch: portal.msrc.microsoft.com
Suricata ID: 2024224
Suricata Klasse: 🔍
Suricata Message: 🔍
Timeline
09.09.2016 🔍01.10.2016 🔍
07.04.2017 🔍
07.04.2017 🔍
11.04.2017 🔍
11.04.2017 🔍
11.04.2017 🔍
11.04.2017 🔍
11.04.2017 🔍
12.04.2017 🔍
25.04.2017 🔍
25.04.2017 🔍
19.04.2024 🔍
Quellen
Hersteller: microsoft.comAdvisory: Critical Office Zero-Day Attacks Detected in the Wild
Person: Haifei Li (SecuriTeam)
Firma: McAfee
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2017-0199 (🔍)
OVAL: 🔍
SecurityTracker: 1038224
SecurityFocus: 97498 - Microsoft Office OLE Feature Remote Code Execution Vulnerability
Heise: 3679314
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 11.04.2017 09:31Aktualisierung: 19.04.2024 07:13
Anpassungen: 11.04.2017 09:31 (124), 21.10.2019 18:16 (2), 28.11.2022 08:52 (4), 19.04.2024 07:13 (22)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.