Microsoft Windows Vista/7/8.1 NtfsCommonCreate c:\$MFT\ Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.3 | $0-$5k | 0.00 |
Zusammenfassung
Eine kritische Schwachstelle wurde in Microsoft Windows Vista/7/8.1 gefunden. Dabei geht es um die Funktion NtfsCommonCreate. Die Bearbeitung des Arguments c:\$MFT\ verursacht Denial of Service.
Der Angriff lässt sich über das Netzwerk starten. Ausserdem ist ein Exploit verfügbar.
Details
Es wurde eine Schwachstelle in Microsoft Windows Vista/7/8.1 (Operating System) gefunden. Sie wurde als kritisch eingestuft. Es betrifft die Funktion NtfsCommonCreate. Durch Manipulation des Arguments c:\$MFT\ mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-404 vorgenommen. Mit Auswirkungen muss man rechnen für die Verfügbarkeit.
Die Schwachstelle wurde am 22.05.2017 durch anatolymik als A bug in NTFS, or hang the entire system in Form eines nicht definierten Blog Posts (Website) publik gemacht. Das Advisory kann von habrahabr.ru heruntergeladen werden. Die Veröffentlichung geschah dabei ohne Koordination mit dem Hersteller. Die Schwachstelle ist wenig beliebt, was unter anderem auf ihre Komplexität zurückzuführen ist. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1499.
Ein öffentlicher Exploit wurde durch anatolymik in HTML entwickelt und sofort nach dem Advisory veröffentlicht. Unter habrahabr.ru wird der Exploit zur Verfügung gestellt. Er wird als hoch funktional gehandelt. Als 0-Day erzielte der Exploit wohl etwa $5k-$25k auf dem Schwarzmarkt. Der durch den Exploit genutzte Code gestaltet sich wie folgt:
<img src="file:///c:/$MFT/XYZ"></img>
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1038575†) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-101817 und VDB-101816. Once again VulDB remains the best source for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
- end of life (old version)
Webseite
- Hersteller: https://www.microsoft.com/
- Produkt: https://www.microsoft.com/en-us/windows
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 6.3
VulDB Base Score: 6.5
VulDB Temp Score: 6.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Autor: anatolymik
Programmiersprache: 🔍
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Exploit Delay Time: 🔍
Timeline
22.05.2017 🔍22.05.2017 🔍
26.05.2017 🔍
27.05.2017 🔍
06.11.2019 🔍
Quellen
Hersteller: microsoft.comProdukt: microsoft.com
Advisory: A bug in NTFS, or hang the entire system
Person: anatolymik
Status: Nicht definiert
GCVE (VulDB): GCVE-100-101820
SecurityTracker: 1038575
scip Labs: https://www.scip.ch/?labs.20140213
Siehe auch: 🔍
Eintrag
Erstellt: 27.05.2017 12:04Aktualisierung: 06.11.2019 09:19
Anpassungen: 27.05.2017 12:04 (52), 06.11.2019 09:19 (4)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.