Microsoft Windows bis Server 2016 Malware Protection Engine Pufferüberlauf

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
8.1$0-$5k0.00

Zusammenfassunginfo

Es wurde eine kritische Schwachstelle in Microsoft Windows bis Server 2016 entdeckt. Betroffen davon ist ein unbekannter Prozess der Komponente Malware Protection Engine. Durch Manipulieren mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Diese Schwachstelle wird als CVE-2017-8540 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.

Detailsinfo

In Microsoft Windows bis Server 2016 (Operating System) wurde eine kritische Schwachstelle ausgemacht. Es geht um unbekannter Code der Komponente Malware Protection Engine. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-119. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

The Microsoft Malware Protection Engine running on Microsoft Forefront and Microsoft Defender on Microsoft Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016, Microsoft Exchange Server 2013 and 2016, does not properly scan a specially crafted file leading to memory corruption. aka "Microsoft Malware Protection Engine Remote Code Execution Vulnerability", a different vulnerability than CVE-2017-8538 and CVE-2017-8541.

Die Entdeckung des Problems geschah am 26.05.2017. Die Schwachstelle wurde am 09.05.2017 durch Mateusz Jurczyk von Google Security Research in Form eines bestätigten Advisories (Website) öffentlich gemacht. Das Advisory findet sich auf portal.msrc.microsoft.com. Die Verwundbarkeit wird seit dem 03.05.2017 als CVE-2017-8540 geführt. Die Schwachstelle ist relativ beliebt, und dies trotz ihrer hohen Komplexität. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt.

Ein öffentlicher Exploit wurde durch Google Security Research entwickelt und 3 Wochen nach dem Advisory veröffentlicht. Der Exploit kann von github.com heruntergeladen werden. Er wird als attackiert gehandelt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $100k und mehr. Für den Vulnerability Scanner Nessus wurde am 31.05.2017 ein Plugin mit der ID 100551 (Microsoft Malware Protection Engine < 1.1.13804 Multiple Vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 370407 (Microsoft Malware Protection Engine Privilege Escalation Vulnerability) zur Prüfung der Schwachstelle an. Der durch den Exploit genutzte Code gestaltet sich wie folgt:

function gc() {
  eval("var s='a';for(var i=0; i < 0x800; i++){s=s.replace('a', 'aaaaaaaa');}");
};
 
var x = Object();
// the first PoC didn't return a string here so toString ended up being the string 'undefined'
// if we do want to return a string object it has to have more than three characters so it doesn't use the 
// inline string optimization
x.toString = function(){return String.fromCharCode(0x41, 0x41, 0x41, 0x41);};
 
var l = Object();
l.valueOf = function() {gc(); return 1;};
 
String.prototype.slice.call(x, l);

Ein Aktualisieren vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat damit sofort gehandelt.

Unter anderem wird der Fehler auch in den Datenbanken von Exploit-DB (42088), Tenable (100551), SecurityFocus (BID 98703†) und SecurityTracker (ID 1038571†) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-101810, VDB-101811, VDB-101812 und VDB-101813. Be aware that VulDB is the high quality source for vulnerability data.

Betroffen

  • Microsoft Windows 7 SP1 bis Server 2012 R2
  • Microsoft Exchange Server 2013/2016

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 8.3
VulDB Meta Temp Score: 8.1

VulDB Base Score: 8.8
VulDB Temp Score: 8.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 7.8
NVD Vector: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Pufferüberlauf
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Teilweise
Lokal: Ja
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Attackiert
Autor: Google Security Research
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

KEV Hinzugefügt: 🔍
KEV Bis wann: 🔍
KEV Massnahmen: 🔍
KEV Ransomware: 🔍
KEV Hinweis: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 100551
Nessus Name: Microsoft Malware Protection Engine < 1.1.13804 Multiple Vulnerabilities
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 804425
OpenVAS Name: Microsoft Malware Protection Engine on Windows Defender Multiple Vulnerabilities
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍

Timelineinfo

03.05.2017 🔍
09.05.2017 +6 Tage 🔍
09.05.2017 +0 Tage 🔍
25.05.2017 +16 Tage 🔍
26.05.2017 +1 Tage 🔍
26.05.2017 +0 Tage 🔍
26.05.2017 +0 Tage 🔍
27.05.2017 +1 Tage 🔍
30.05.2017 +3 Tage 🔍
30.05.2017 +0 Tage 🔍
31.05.2017 +1 Tage 🔍
09.09.2024 +2658 Tage 🔍

Quelleninfo

Hersteller: microsoft.com
Produkt: microsoft.com

Advisory: portal.msrc.microsoft.com
Person: Mateusz Jurczyk
Firma: Google Security Research
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2017-8540 (🔍)
GCVE (CVE): GCVE-0-2017-8540
GCVE (VulDB): GCVE-100-101815

OVAL: 🔍

SecurityFocus: 98703 - Microsoft Malware Protection Engine CVE-2017-8540 Remote Code Execution Vulnerability
SecurityTracker: 1038571

scip Labs: https://www.scip.ch/?labs.20161215
Siehe auch: 🔍

Eintraginfo

Erstellt: 27.05.2017 09:50
Aktualisierung: 09.09.2024 22:29
Anpassungen: 27.05.2017 09:50 (94), 05.06.2020 21:59 (4), 23.04.2024 14:55 (29), 24.07.2024 16:40 (1), 09.09.2024 22:29 (1)
Komplett: 🔍
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!