Microsoft Internet Explorer bis 11 SWF File IsConnectedToPrimaryMarkup erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
7.9$0-$5k0.00

Zusammenfassunginfo

Es wurde eine Schwachstelle in Microsoft Internet Explorer bis 11 entdeckt. Sie wurde als sehr kritisch eingestuft. Betroffen hiervon ist die Funktion CMarkup::IsConnectedToPrimaryMarkup der Komponente SWF File Handler. Dank Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Diese Sicherheitslücke ist unter CVE-2014-1776 bekannt. Der Angriff kann remote ausgeführt werden. Darüber hinaus steht ein Exploit zur Verfügung. Diese Schwachstelle ist wegen ihres Hintergrunds und ihrer Aufnahme von historischer Relevanz. Es empfiehlt sich, die vorgeschlagene Umgehung zu implementieren.

Detailsinfo

Eine sehr kritische Schwachstelle wurde in Microsoft Internet Explorer bis 11 (Web Browser) ausgemacht. Es geht hierbei um die Funktion CMarkup::IsConnectedToPrimaryMarkup der Komponente SWF File Handler. Durch Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-94. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

Use-after-free vulnerability in Microsoft Internet Explorer 6 through 11 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via vectors related to the CMarkup::IsConnectedToPrimaryMarkup function, as exploited in the wild in April 2014. NOTE: this issue originally emphasized VGX.DLL, but Microsoft clarified that "VGX.DLL does not contain the vulnerable code leveraged in this exploit. Disabling VGX.DLL is an exploit-specific workaround that provides an immediate, effective workaround to help block known attacks."

Eingeführt wurde der Fehler am 22.03.2001. Die Schwachstelle wurde am 26.04.2014 durch Christopher Glyer, Matt Fowler, Josh Homan, Ned Moran, Nart Villeneuve und Yichong Lin von FireEye als New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks in Form eines bestätigten Postings (Website) veröffentlicht. Das Advisory kann von fireeye.com heruntergeladen werden. Die Herausgabe geschah hierbei ohne Zusammenarbeit mit dem Hersteller. Die Identifikation der Schwachstelle findet seit dem 29.01.2014 als CVE-2014-1776 statt. Die Schwachstelle ist sehr beliebt, und dies trotz ihrer hohen Komplexität. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind sowohl technische Details als auch ein privater Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 10.01.2025). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft fallend verhalten werden.Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1059. Diese Schwachstelle gilt aufgrund ihrer speziellen Ausprägung als historisch interessant. Das Advisory weist darauf hin:

FireEye Research Labs identified a new Internet Explorer (IE) zero-day exploit used in targeted attacks. The vulnerability affects IE6 through IE11, but the attack is targeting IE9 through IE11. This zero-day bypasses both ASLR and DEP.

Er wird als attackiert gehandelt. Dabei muss 4783 Tage als nicht veröffentlichte Zero-Day Schwachstelle ausgegangen werden. Während dieser Zeit erzielte er wohl etwa $25k-$100k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde am 01.05.2014 ein Plugin mit der ID 73805 (MS14-021: Security Update for Internet Explorer (2965111)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 100191 (Microsoft Internet Explorer Remote Code Execution Vulnerability (MS14-021 and KB2963983)) zur Prüfung der Schwachstelle an. Das Advisory zeigt auf:

The exploit page loads a Flash SWF file to manipulate the heap layout with the common technique heap feng shui.

Mit der Einstellung Restricted Mode kann das Problem adressiert werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat hiermit sofort reagiert. Das Advisory stellt fest:

Using EMET may break the exploit in your environment and prevent it from successfully controlling your computer. EMET versions 4.1 and 5.0 break (and/or detect) the exploit in our tests. Enhanced Protected Mode in IE breaks the exploit in our tests. EPM was introduced in IE10. Additionally, the attack will not work without Adobe Flash. Disabling the Flash plugin within IE will prevent the exploit from functioning.
Truswave SpiderLabs bietet eine Möglichkeit, mit diesem Angriff umzugehen: "Samples from the attack recently became available, allowing us to confirm and reassure our customers that Trustwave Secure Web Gateway was able to protect them against this attack provided that it was up-to-date at the time of the attack. The attack is blocked by the policy rule "Block Malicious Content (Malware Entrapment Engine)." Please ensure that you enable this rule in your policy. We also highly recommend installing "Security Update 167" which includes additional protection developed specifically for this vulnerability." Weiterführend können Angriffe durch TippingPoint mittels dem Filter 13902 erkannt werden.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (92731), Zero-Day.cz (104), Tenable (73805), SecurityFocus (BID 67075†) und OSVDB (106311†) dokumentiert. Unter cnet.com werden zusätzliche Informationen bereitgestellt. If you want to get best quality of vulnerability data, you may have to visit VulDB.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Support

Webseite

CPE 2.3info

CPE 2.2info

Video

Youtube: Nicht mehr verfügbar

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 8.0
VulDB Meta Temp Score: 7.9

VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 9.8
NVD Vector: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-94 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: Privat
Status: Attackiert

EPSS Score: 🔍
EPSS Percentile: 🔍

KEV Hinzugefügt: 🔍
KEV Bis wann: 🔍
KEV Massnahmen: 🔍
KEV Ransomware: 🔍
KEV Hinweis: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 73805
Nessus Name: MS14-021: Security Update for Internet Explorer (2965111)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Zero-Day.cz: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Workaround
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Config: Restricted Mode
Suricata ID: 2018434
Suricata Klasse: 🔍
Suricata Message: 🔍

TippingPoint: 🔍

McAfee IPS Version: 🔍

ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍

Timelineinfo

22.03.2001 🔍
29.01.2014 +4696 Tage 🔍
26.04.2014 +87 Tage 🔍
26.04.2014 +0 Tage 🔍
26.04.2014 +0 Tage 🔍
26.04.2014 +0 Tage 🔍
26.04.2014 +0 Tage 🔍
27.04.2014 +1 Tage 🔍
27.04.2014 +0 Tage 🔍
27.04.2014 +0 Tage 🔍
27.04.2014 +0 Tage 🔍
28.04.2014 +1 Tage 🔍
01.05.2014 +3 Tage 🔍
10.01.2025 +3907 Tage 🔍

Quelleninfo

Hersteller: microsoft.com

Advisory: New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks
Person: Christopher Glyer, Matt Fowler, Josh Homan, Ned Moran, Nart Villeneuve, Yichong Lin
Firma: FireEye
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2014-1776 (🔍)
GCVE (CVE): GCVE-0-2014-1776
GCVE (VulDB): GCVE-100-13076

OVAL: 🔍

CERT: 🔍
X-Force: 92731 - Microsoft Internet Explorer code execution, High Risk
SecurityFocus: 67075 - Microsoft Internet Explorer CVE-2014-1776 Remote Code Execution Vulnerability
Secunia: 57908 - Microsoft Internet Explorer Use-After-Free Vulnerability, Extremely Critical
OSVDB: 106311
SecurityTracker: 1030154 - Microsoft Internet Explorer Object Access Flaw Lets Remote Users Execute Arbitrary Code
Vulnerability Center: 44250 - [MS14-021] Microsoft Internet Explorer 6-11 Remote Code Execution due to ASLR and DEP Bypass, Critical

scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍

Eintraginfo

Erstellt: 28.04.2014 11:02
Aktualisierung: 10.01.2025 15:20
Anpassungen: 28.04.2014 11:02 (101), 07.04.2017 12:05 (9), 17.06.2021 18:10 (3), 22.04.2024 16:49 (24), 12.07.2024 04:40 (2), 24.07.2024 20:14 (12), 09.09.2024 22:29 (1), 20.12.2024 04:47 (2), 10.01.2025 15:20 (1)
Komplett: 🔍
Cache ID: 216:FD5:103

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!