Symantec Endpoint Protection bis 12.1 RU6 MP6/14.0 Client CSV erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in Symantec Endpoint Protection bis 12.1 RU6 MP6/14.0 entdeckt. Sie wurde als problematisch eingestuft. Betroffen ist eine unbekannte Funktion der Komponente Client. Durch das Manipulieren durch CSV kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-9094 gehandelt. Der Angriff muss lokal durchgeführt werden. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Eine Schwachstelle wurde in Symantec Endpoint Protection bis 12.1 RU6 MP6/14.0 (Anti-Malware Software) gefunden. Sie wurde als problematisch eingestuft. Hierbei geht es um unbekannter Programmcode der Komponente Client. Durch Manipulieren durch CSV kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-20. Dies wirkt sich aus auf die Integrität.
Am 06.03.2017 wurde das Problem entdeckt. Die Schwachstelle wurde am 06.03.2017 durch Raghav Bisht als SYM17-002 in Form eines bestätigten Security Responses (Website) veröffentlicht. Auf symantec.com kann das Advisory eingesehen werden. Die Herausgabe geschah hierbei in Zusammenarbeit mit dem Hersteller. Die Identifikation der Schwachstelle findet seit dem 28.10.2016 als CVE-2016-9094 statt. Sie ist schwierig ausnutzbar. Der Angriff muss lokal passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. Das Advisory weist darauf hin:
Symantec Endpoint Protection clients place detected malware in quarantine as part of the intended product functionality. The quarantine logs can be exported for review by the user in a variety of formats including .CSV files. The potential exists for file metadata to be interpreted and evaluated as a formula.Für den Vulnerability Scanner Nessus wurde am 02.06.2017 ein Plugin mit der ID 100593 (Symantec Endpoint Protection Client 12.1.x < 12.1 RU6 MP7 / 14.0.x < 14.0 MP1 Command Injection (SYM17-002)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 370326 (Symantec Endpoint Protection Clients Multiple Vulnerabilities.(SYM17-002)) zur Prüfung der Schwachstelle an. Das Advisory zeigt auf:
Successful exploitation of an attack of this type requires considerable direct user-interaction from the user exporting and then opening the log files on the intended target client.Ein Upgrade auf die Version 12.1 RU6 MP7 oder 14.0 MP1 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Symantec hat entsprechend unmittelbar reagiert.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (100593), SecurityFocus (BID 96298†) und SecurityTracker (ID 1037961†) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: VDB-97753. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.symantec.com/
CPE 2.3
CPE 2.2
Video
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 4.2
VulDB Base Score: 2.5
VulDB Temp Score: 2.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
Hersteller Base Score (Symantec): 2.5
Hersteller Vector (Symantec): 🔍
NVD Base Score: 7.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 100593
Nessus Name: Symantec Endpoint Protection Client 12.1.x < 12.1 RU6 MP7 / 14.0.x < 14.0 MP1 Command Injection (SYM17-002)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: Endpoint Protection 12.1 RU6 MP7/14.0 MP1
Timeline
28.10.2016 🔍06.03.2017 🔍
06.03.2017 🔍
06.03.2017 🔍
06.03.2017 🔍
07.03.2017 🔍
10.03.2017 🔍
02.06.2017 🔍
16.04.2018 🔍
19.08.2020 🔍
Quellen
Hersteller: symantec.comAdvisory: SYM17-002
Person: Raghav Bisht
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍
CVE: CVE-2016-9094 (🔍)
GCVE (CVE): GCVE-0-2016-9094
GCVE (VulDB): GCVE-100-97754
SecurityFocus: 96298 - Symantec Endpoint Protection CVE-2016-9094 Local Command Injection Vulnerability
OSVDB: - CVE-2016-9094 - Symantec - Endpoint Protection - Medium
SecurityTracker: 1037961
Siehe auch: 🔍
Eintrag
Erstellt: 10.03.2017 08:05Aktualisierung: 19.08.2020 16:12
Anpassungen: 10.03.2017 08:05 (92), 19.08.2020 16:12 (6)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.