Microsoft Internet Explorer 9/10 JavaScript CMarkup onpropertychange Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.4 | $0-$5k | 0.00 |
Zusammenfassung
In Microsoft Internet Explorer 9/10 wurde eine sehr kritische Schwachstelle entdeckt. Betroffen hiervon ist die Funktion onpropertychange der Komponente JavaScript CMarkup. Dank Manipulation mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden.
Die Verwundbarkeit wird als CVE-2014-0322 geführt. Der Angriff kann remote ausgeführt werden. Ausserdem ist ein Exploit verfügbar. Die Ausprägung dieser Schwachstelle führt zu einem gewissen historischen Interesse an ihr.
Aufgrund der automatisierten Ausnutzung der Schwachstelle gibt es mittlerweile einen Wurm, der sich diese zunutze macht.
Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Eine sehr kritische Schwachstelle wurde in Microsoft Internet Explorer 9/10 (Web Browser) ausgemacht. Davon betroffen ist die Funktion onpropertychange der Komponente JavaScript CMarkup. Dank der Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-399. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Use-after-free vulnerability in Microsoft Internet Explorer 9 and 10 allows remote attackers to execute arbitrary code via vectors involving crafted JavaScript code, CMarkup, and the onpropertychange attribute of a script element, as exploited in the wild in January and February 2014.Entdeckt wurde das Problem am 20.01.2014. Die Schwachstelle wurde am 13.02.2014 durch Alex Watson und Victor Chin von Websense Security Labs als MSIE 0-day Exploit CVE-2014-0322 - Possibly Targeting French Aerospace Association in Form eines bestätigten Postings (Blog) veröffentlicht. Das Advisory kann von community.websense.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 03.12.2013 als CVE-2014-0322 statt. Die Schwachstelle ist relativ beliebt, und dies trotz ihrer hohen Komplexität. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 10.01.2025). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft fallend verhalten werden.Diese Schwachstelle gilt aufgrund ihrer speziellen Ausprägung als historisch interessant.
Ein öffentlicher Exploit wurde durch Metasploit entwickelt und vor und nicht erst nach dem Advisory veröffentlicht. Der Exploit kann von securityfocus.com heruntergeladen werden. Er wird als attackiert gehandelt. Dabei muss 1038 Tage als nicht veröffentlichte Zero-Day Schwachstelle ausgegangen werden. Während dieser Zeit erzielte er wohl etwa $25k-$100k auf dem Schwarzmarkt. Aufgrund der automatisierten Ausnutzung der Schwachstelle gibt es mittlerweile einen Wurm, der sich diese zunutze macht. Für den Vulnerability Scanner Nessus wurde am 20.02.2014 ein Plugin mit der ID 72605 (MS KB2934088: Vulnerability in Internet Explorer Could Allow Remote Code Execution) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 100180 (Microsoft Internet Explorer Multiple Remote Code Execution Vulnerabilities (MS14-012)) zur Prüfung der Schwachstelle an. Das Advisory zeigt auf:
As of January 28, 2014 gifts.assso.net resolved to 173.252.252.204. This IP address is geolocated to Santa Clara, Calif. We noticed the SHA1 for Tope.swf being uploaded to VirusTotal on January 20 (the same day as the fake gifas.assso.net site was set up), with no detection at the time by AV vendors. Presumably this was done by the attackers to check AV coverage for their malware before starting their attacks, further indicating that January 20 was the initial rollout of this campaign of attacks using this 0-day. As is in the HTTP stream shown below, visitors going to hxxp://gifts.assso.net are linked to include.html, which sets up the ROP exploit and "Tope.swf" Shockwave Flash file (SHA1: 910de05e0113c167ba3878f73c64d55e5a2aff9a) which is utilized after the CVE-2014-0322 use after free vulnerability to access memory through ActionScript in the SWF file. (…) The exploit may use an in-memory attack with no file writes to avoid detection from antivirus products. Heise erläutert: "Die Angreifer waren offenbar sehr darauf bedacht, keinen Alarm zu schlagen: Die Exploit-Seite, die als iFrame in die gehackte Site eingebettet wurde, hat mit einem Trick überprüft, ob Microsofts Härtungstool EMET auf dem Rechner des Besuchers installiert ist: Die Seite versucht, die lokale Datei EMET.DLL mit dem ActiveX-Control Microsoft.XMLDOM zu laden. Dabei wirft das Control eine Fehlermeldung, die der Angriffsseite verrät, ob die DLL vorhanden ist – und der Rechner des potenziellen Opfers durch EMET geschützt wird. Ist dies der Fall, stoppt der Exploit."Ein Upgrade auf die Version 11 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches Fix It 51007/51008 beheben. Dieser kann von blogs.technet.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen. Weiterführend können Angriffe durch TippingPoint mittels dem Filter 13598 erkannt werden.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (91101), Exploit-DB (32904), Zero-Day.cz (103), Tenable (72605) und SecurityFocus (BID 65551†) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall. Unter fireeye.com werden zusätzliche Informationen bereitgestellt. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-12531, VDB-12532, VDB-12533 und VDB-12534. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
Webseite
- Hersteller: https://www.microsoft.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.6VulDB Meta Temp Score: 7.4
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 8.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Attackiert
Autor: Metasploit
Wormified: 🔍
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Hinzugefügt: 🔍
KEV Bis wann: 🔍
KEV Massnahmen: 🔍
KEV Ransomware: 🔍
KEV Hinweis: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 72605
Nessus Name: MS KB2934088: Vulnerability in Internet Explorer Could Allow Remote Code Execution
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Saint ID: exploit_info/ie_cmarkup_uaf
Saint Name: Internet Explorer CMarkup Object Handling Use-after-free Vulnerability
Qualys ID: 🔍
Qualys Name: 🔍
MetaSploit ID: ms14_012_cmarkup_uaf.rb
MetaSploit Name: MS14-012 Microsoft Internet Explorer CMarkup Use-After-Free
MetaSploit Datei: 🔍
Exploit-DB: 🔍
Zero-Day.cz: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Internet Explorer 11
Patch: Fix It 51007/51008
Suricata ID: 2018147
Suricata Klasse: 🔍
Suricata Message: 🔍
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍
Timeline
12.04.2011 🔍03.12.2013 🔍
20.01.2014 🔍
20.01.2014 🔍
13.02.2014 🔍
13.02.2014 🔍
13.02.2014 🔍
14.02.2014 🔍
16.02.2014 🔍
18.02.2014 🔍
20.02.2014 🔍
16.04.2014 🔍
10.01.2025 🔍
Quellen
Hersteller: microsoft.comAdvisory: MSIE 0-day Exploit CVE-2014-0322 - Possibly Targeting French Aerospace Association
Person: Alex Watson, Victor Chin
Firma: Websense Security Labs
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2014-0322 (🔍)
GCVE (CVE): GCVE-0-2014-0322
GCVE (VulDB): GCVE-100-12320
OVAL: 🔍
IAVM: 🔍
CERT: 🔍
X-Force: 91101 - Microsoft Internet Explorer GIFAS code execution, High Risk
SecurityFocus: 65551 - Microsoft Internet Explorer CVE-2014-0322 Use-After-Free Remote Code Execution Vulnerability
Secunia: 56974
OSVDB: 103354
Vulnerability Center: 43252 - [MS14-012] Microsoft Internet Explorer 9 - 10 Remote Code Execution Vulnerability (CVE-2014-0322), Critical
Heise: 2113169
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 18.02.2014 08:40Aktualisierung: 10.01.2025 15:20
Anpassungen: 18.02.2014 08:40 (106), 07.04.2017 12:04 (12), 09.06.2021 14:51 (3), 25.04.2024 19:27 (28), 02.07.2024 22:28 (12), 12.07.2024 12:29 (2), 09.09.2024 22:30 (1), 10.01.2025 15:20 (1)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.