Microsoft Office 2007/2010/2013/2016 RTF Document Necurs Dridex elévation de privilèges
| CVSS Score de méta-température | Exploit Prix Actuel (≈) | Score d'intérêt CTI |
|---|---|---|
| 6.9 | $0-$5k | 0.00 |
Une vulnérabilité a été trouvé dans Microsoft Office 2007/2010/2013/2016 (Office Suite Software) et classée très critique. Affecté par cette vulnérabilité est une fonction inconnue du composant RTF Document Handler. A cause de la manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe elévation de privilèges.
Le bug a été découvert sur 11/04/2017. La vulnerabilité a été publié en 07/04/2017 par Haifei Li (SecuriTeam) avec McAfee avec le numéro d'identification Critical Office Zero-Day Attacks Detected in the Wild avec article (Website) (confirmé). La notice d'information est disponible en téléchargement sur securingtomorrow.mcafee.com La publication s'est produite sans l'implication du fabricant. Cette vulnérabilité a été nommée CVE-2017-0199. La vulnerabilité est très populaire, et bien qu'elle soit très complexe. L'attaque peut être lancée à distance. Aucune forme d'authentification est requise pour l'exploitation. Les details techniques sont inconnus mais une méthode d'exploitation publique est connue. Cette vulnérabilité a un impact historique dû aux évènements qui ont entourés sa publication.
Un exploit a été developpé en Python et a été publié 3 semaines après la notice d'information. L'exploit est disponible au téléchargment sur exploit-db.com. Il est déclaré comme hautement fonctionnel. Cette vulnérabilité a été classée comme 0-day non publique pendant au moins 188 jours. Un vers est en train de se propager, ce qui exploite automatiquement cette vulnérabilité. Le scanner de vulnérabilités Nessus propose un module ID 99285 (Windows Server 2012 April 2017 Security Updates (Petya)), lequel aide à déterminer l'existence d'une faille dans l'environnement-cible. Le code utilisé par l'exploit est:
ministream_data << "01000002090000000100000000000000" # 00000000: ................ ministream_data << "0000000000000000a4000000e0c9ea79" # 00000010: ...............y ministream_data << "f9bace118c8200aa004ba90b8c000000" # 00000020: .........K...... ministream_data << generate_uri ministream_data << "00000000795881f43b1d7f48af2c825d" # 000000a0: ....yX..;..H.,.] ministream_data << "c485276300000000a5ab0000ffffffff" # 000000b0: ..'c............ ministream_data << "0609020000000000c000000000000046" # 000000c0: ...............F ministream_data << "00000000ffffffff0000000000000000" # 000000d0: ................ ministream_data << "906660a637b5d2010000000000000000" # 000000e0: .f`.7........... ministream_data << "00000000000000000000000000000000" # 000000f0: ................ ministream_data << "100203000d0000000000000000000000" # 00000100: ................ ministream_data << "00000000000000000000000000000000" # 00000110: ................ ministream_data << "00000000000000000000000000000000" # 00000120: ................ ministream_data << "00000000000000000000000000000000" # 00000130: ................ ministream_data << "00000000000000000000000000000000" # 00000140: ................ ministream_data << "00000000000000000000000000000000" # 00000150: ................ ministream_data << "00000000000000000000000000000000" # 00000160: ................ ministream_data << "00000000000000000000000000000000" # 00000170: ................ ministream_data << "00000000000000000000000000000000" # 00000180: ................ ministream_data << "00000000000000000000000000000000" # 00000190: ................ ministream_data << "00000000000000000000000000000000" # 000001a0: ................ ministream_data << "00000000000000000000000000000000" # 000001b0: ................ ministream_data << "00000000000000000000000000000000" # 000001c0: ................ ministream_data << "00000000000000000000000000000000" # 000001d0: ................ ministream_data << "00000000000000000000000000000000" # 000001e0: ................ ministream_data << "00000000000000000000000000000000" # 000001f0: ................
En appliquant un correctif il est possible d'éliminer le problème. Le correctif est disponible au téléchargement sur portal.msrc.microsoft.com. Une solution envisageable a été publiée 4 jours après la publication de la vulnérabilité.
La vulnérabilité est aussi documentée dans les base de données Tenable (99285) et Exploit-DB (41934).
Affecté
- Microsoft Office 2007/2010/2013/2016
- Microsoft Wordpad
Produit
Taper
Fournisseur
Nom
Version
Licence
CPE 2.3
CPE 2.2
Screenshot
Vidéo
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍
CVSSv3
VulDB Score méta-base: 7.0VulDB Score de méta-température: 6.9
VulDB Note de base: 6.3
VulDB Note temporaire: 6.0
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍
NVD Note de base: 7.8
NVD Vecteur: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vecteur | Complexité | Authentification | Confidentialité | Intégrité | Disponibilité |
|---|---|---|---|---|---|
| ouvrir | ouvrir | ouvrir | ouvrir | ouvrir | ouvrir |
| ouvrir | ouvrir | ouvrir | ouvrir | ouvrir | ouvrir |
| ouvrir | ouvrir | ouvrir | ouvrir | ouvrir | ouvrir |
VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍
NVD Note de base: 🔍
Exploiting
Nom: Necurs DridexClasse: Elévation de privilèges / Necurs Dridex
CWE: CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Localement: Non
Remote: Oui
Disponibilité: 🔍
Accéder: Publique
Statut: Hautement fonctionnel
Wormified: 🔍
Fiabilité: 🔍
Langage de programmation: 🔍
Télécharger: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Ajouté: 🔍
KEV Due: 🔍
KEV Contre-mesures: 🔍
KEV Ransomware: 🔍
Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍
| 0-Day | ouvrir | ouvrir | ouvrir | ouvrir |
|---|---|---|---|---|
| Aujourd'hui | ouvrir | ouvrir | ouvrir | ouvrir |
Nessus ID: 99285
Nessus Nom: Windows Server 2012 April 2017 Security Updates (Petya)
Nessus Document: 🔍
Nessus Risque: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 800218
OpenVAS Nom: Microsoft Windows Monthly Rollup (KB4015551)
OpenVAS Document: 🔍
OpenVAS Family: 🔍
Saint ID: microsoft_word_wordpad_rtf
Saint Nom: Microsoft Word and WordPad RTF HTA handler command execution
Qualys ID: 🔍
Qualys Nom: 🔍
MetaSploit ID: office_word_hta.rb
MetaSploit Nom: Microsoft Office Word Malicious Hta Execution
MetaSploit Document: 🔍
Exploit-DB: 🔍
Renseignements sur les menaces
Intérêt: 🔍Acteurs actifs: 🔍
Groupes APT actifs: 🔍
Contre-mesures
Recommandé: PatchStatut: 🔍
Temps de réaction: 🔍
Heure 0 jour: 🔍
Temps d'exposition: 🔍
Délai d'exploitation: 🔍
Patch: portal.msrc.microsoft.com
Suricata ID: 2024224
Suricata Classe: 🔍
Suricata Message: 🔍
Chronologie
09/09/2016 🔍01/10/2016 🔍
07/04/2017 🔍
07/04/2017 🔍
11/04/2017 🔍
11/04/2017 🔍
11/04/2017 🔍
11/04/2017 🔍
11/04/2017 🔍
12/04/2017 🔍
25/04/2017 🔍
25/04/2017 🔍
19/04/2024 🔍
Sources
Fournisseur: microsoft.comBulletin: Critical Office Zero-Day Attacks Detected in the Wild
Chercheur: Haifei Li (SecuriTeam)
Organisation: McAfee
Statut: Confirmé
Confirmation: 🔍
CVE: CVE-2017-0199 (🔍)
OVAL: 🔍
SecurityTracker: 1038224
SecurityFocus: 97498 - Microsoft Office OLE Feature Remote Code Execution Vulnerability
scip Labs: https://www.scip.ch/en/?labs.20161013
Divers: 🔍
Voir aussi: 🔍
Entrée
Établi: 11/04/2017 09:31Mise à jour: 19/04/2024 07:13
Changements: 11/04/2017 09:31 (124), 21/10/2019 18:16 (2), 28/11/2022 08:52 (4), 19/04/2024 07:13 (22)
Compléter: 🔍
Aucun commentaire pour l'instant. Langues: fr + en.
Veuillez vous connecter pour commenter.