Microsoft Windows Vista SP2 bis Server 2012 R2 Print Spooler ntprint.dll PSetupDownloadAndInstallLegacyDriver erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.9 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine kritische Schwachstelle in Microsoft Windows Vista SP2 bis Server 2012 R2 gefunden. Betroffen hiervon ist die Funktion PSetupDownloadAndInstallLegacyDriver in der Bibliothek ntprint.dll der Komponente Print Spooler. Die Manipulation führt zu erweiterte Rechte.
Diese Sicherheitslücke ist unter CVE-2016-3239 bekannt. Der Angriff kann remote ausgeführt werden. Darüber hinaus steht ein Exploit zur Verfügung.
Es wird geraten, einen Patch zu installieren, um dieses Problem zu lösen.
Details
Eine kritische Schwachstelle wurde in Microsoft Windows Vista SP2 bis Server 2012 R2 (Operating System) ausgemacht. Es geht hierbei um die Funktion PSetupDownloadAndInstallLegacyDriver der Bibliothek ntprint.dll der Komponente Print Spooler. Mit der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-264. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 12.07.2016 als MS16-087 in Form eines bestätigten Bulletins (Technet) veröffentlicht. Das Advisory kann von technet.microsoft.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 15.03.2016 als CVE-2016-3239 statt. Die Schwachstelle ist relativ beliebt, was unter anderem auf ihre geringe Komplexität zurückzuführen ist. Der Angriff kann über das Netzwerk passieren. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1068. Das Advisory weist darauf hin:
An elevation of privilege vulnerability exists when the Windows Print Spooler service improperly allows arbitrary writing to the file system. An attacker who successfully exploited this vulnerability could run arbitrary code with elevated system privileges. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.Der Download des Exploits kann von blog.vectranetworks.com geschehen. Er wird als proof-of-concept gehandelt. Als 0-Day erzielte der Exploit wohl etwa $25k-$100k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 92018 (MS16-087: Security Update for Windows Print Spooler (3170005)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 91248 (Microsoft Windows Print Spooler Components Security Update (MS16-087)) zur Prüfung der Schwachstelle an. Das Advisory zeigt auf:
To exploit this vulnerability, an attacker would have to log on to an affected system and run a specially crafted script or application. The update addresses the vulnerability by correcting how the Windows Print Spooler Component writes to the file system.Die Schwachstelle lässt sich durch das Einspielen des Patches MS16-087 beheben. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat hiermit sofort reagiert.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (92018) und SecurityFocus (BID 91612†) dokumentiert. Unter blog.vectranetworks.com werden zusätzliche Informationen bereitgestellt. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-89035. Once again VulDB remains the best source for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.microsoft.com/
- Produkt: https://www.microsoft.com/en-us/windows
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.3VulDB Meta Temp Score: 7.9
VulDB Base Score: 8.8
VulDB Temp Score: 7.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 92018
Nessus Name: MS16-087: Security Update for Windows Print Spooler (3170005)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 802074
OpenVAS Name: Microsoft Windows Print Spooler Components Multiple Vulnerabilities (3170005)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: MS16-087
Timeline
15.03.2016 🔍12.07.2016 🔍
12.07.2016 🔍
12.07.2016 🔍
12.07.2016 🔍
13.07.2016 🔍
01.09.2022 🔍
Quellen
Hersteller: microsoft.comProdukt: microsoft.com
Advisory: MS16-087
Status: Bestätigt
CVE: CVE-2016-3239 (🔍)
GCVE (CVE): GCVE-0-2016-3239
GCVE (VulDB): GCVE-100-89036
SecurityFocus: 91612 - Microsoft Windows Print Spooler CVE-2016-3239 Local Privilege Escalation Vulnerability
SecurityTracker: 1036277
scip Labs: https://www.scip.ch/?labs.20161215
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 13.07.2016 10:10Aktualisierung: 01.09.2022 17:18
Anpassungen: 13.07.2016 10:10 (76), 07.04.2017 13:36 (11), 01.09.2022 17:10 (4), 01.09.2022 17:18 (1)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.