Microsoft Windows Master File Table Ntfs!PushIndexRoot Blue Screen Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.3 | $0-$5k | 0.00 |
Zusammenfassung
In Microsoft Windows wurde eine problematische Schwachstelle gefunden. Betroffen davon ist die Funktion Ntfs!PushIndexRoot der Komponente Master File Table. Die Veränderung resultiert in Denial of Service (Blue Screen).
Der Angriff erfordert einen lokalen Zugriff. Es ist soweit kein Exploit verfügbar.
Als bestmögliche Massnahme wird das Umsteigen auf ein Alternativprodukt empfohlen.
Details
In Microsoft Windows - die betroffene Version ist nicht bekannt - (Operating System) wurde eine problematische Schwachstelle ausgemacht. Hierbei betrifft es die Funktion Ntfs!PushIndexRoot der Komponente Master File Table. Durch die Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle (Blue Screen) ausgenutzt werden. CWE definiert das Problem als CWE-404. Dies hat Einfluss auf die Verfügbarkeit.
Die Schwachstelle wurde am 24.10.2019 durch Stéfan Le Berre als NTFS 0day in MFT parsing in Form eines nicht definierten Papers (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter exatrack.com. Die Veröffentlichung passierte hierbei in Koordination mit Microsoft. Der Angriff muss lokal angegangen werden. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten (Preisberechnung vom 25.10.2019). Das Advisory weist darauf hin:
The vulnerability may be triggered by the addition of a new file into a directory. More specifically the field $INDEX_ROOT. This field contains the list of files included into the directory.Mindestens 130 Tage galt die Schwachstelle als nicht öffentlicher Zero-Day. Während dieser Zeit erzielte er wohl etwa $5k-$25k auf dem Schwarzmarkt. Das Advisory zeigt auf:
At the 0x30 offset is located the first entry, here its value is 0x10. It represents the relative offset of the directory’s first file. Its default value is always 0x10, but may be manually modified to point on the second file entry. To do so we have to modify this value with 0xe0. So we end up with a smaller file list than really contained files. Normally, it should be fine, excepted if all the MFT is used and we try to add a new file. In this case the field $INDEX_ROOT must be transformed form “resident” to “not resident”. Thus, the system must allocate a free space in the partition.Das Problem kann durch den Einsatz von als alternatives Produkt mitigiert werden.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Produkt
Typ
Hersteller
Name
Lizenz
Webseite
- Hersteller: https://www.microsoft.com/
- Produkt: https://www.microsoft.com/en-us/windows
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.5VulDB Meta Temp Score: 5.3
VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Name: Blue ScreenKlasse: Denial of Service / Blue Screen
CWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: AlternativeStatus: 🔍
0-Day Time: 🔍
Timeline
16.06.2019 🔍09.08.2019 🔍
24.10.2019 🔍
25.10.2019 🔍
25.10.2019 🔍
Quellen
Hersteller: microsoft.comProdukt: microsoft.com
Advisory: NTFS 0day in MFT parsing
Person: Stéfan Le Berre
Status: Nicht definiert
Koordiniert: 🔍
GCVE (VulDB): GCVE-100-144169
Eintrag
Erstellt: 25.10.2019 09:39Aktualisierung: 25.10.2019 09:44
Anpassungen: 25.10.2019 09:39 (50), 25.10.2019 09:44 (2)
Komplett: 🔍
Einsender: misc
Cache ID: 216::103
Submit
Akzeptiert
- Submit #108: Microsoft Windows NTFS Master File Table Integer Overflow leads to BSOD (von misc)
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.