VDB-99533 · CVE-2017-0199 · EDB 41934

Microsoft Office 2007/2010/2013/2016 RTF Document Necurs Dridex élévation de privilèges

CVSS Score méta-temporaire	Prix actuel de l'exploit (≈)	Score d'intérêt CTI
6.9	$0-$5k	0.00

Résuméinformation

Une vulnérabilité classée très critique a été trouvée dans Microsoft Office 2007/2010/2013/2016. Affecté par cette vulnérabilité est une fonction inconnue du composant RTF Document Handler. L’utilisation aboutit à élévation de privilèges (Necurs Dridex). Cette vulnérabilité est identifiée comme CVE-2017-0199. Il est possible de lancer l'attaque à distance. De plus, un exploit est disponible. Cette vulnérabilité présente un impact historique du fait de son origine et de la manière dont elle a été perçue. Un ver se répand et exploite automatiquement cette faille. Il est recommandé de déployer un patch pour régler cette faille.

Détailsinformation

Une vulnérabilité a été trouvé dans Microsoft Office 2007/2010/2013/2016 (Office Suite Software) et classée très critique. Affecté par cette vulnérabilité est une fonction inconnue du composant RTF Document Handler. A cause de la manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe élévation de privilèges.

Le bug a été découvert sur 11/04/2017. La vulnerabilité a été publié en 07/04/2017 par Haifei Li (SecuriTeam) avec McAfee avec le numéro d'identification Critical Office Zero-Day Attacks Detected in the Wild avec article (Website) (confirmé). La notice d'information est disponible en téléchargement sur securingtomorrow.mcafee.com La publication s'est produite sans l'implication du fabricant. Cette vulnérabilité a été nommée CVE-2017-0199. La vulnerabilité est très populaire, et bien qu'elle soit très complexe. L'attaque peut être lancée à distance. Aucune forme d'authentification est requise pour l'exploitation. Les details techniques sont inconnus mais une méthode d'exploitation public est connue. Cette vulnérabilité a un impact historique dû aux évènements qui ont entourés sa publication.

Un exploit a été developpé en Python et a été publié 3 semaines après la notice d'information. L'exploit est disponible au téléchargment sur exploit-db.com. Il est déclaré comme attaqué. Cette vulnérabilité a été classée comme 0-day non publique pendant au moins 188 jours. Un vers est en train de se propager, ce qui exploite automatiquement cette vulnérabilité. Le scanner de vulnérabilités Nessus propose un module ID 99285 (Windows Server 2012 April 2017 Security Updates (Petya)), lequel aide à déterminer l'existence d'une faille dans l'environnement-cible. Le code utilisé par l'exploit est:

ministream_data << "01000002090000000100000000000000" # 00000000: ................
ministream_data << "0000000000000000a4000000e0c9ea79" # 00000010: ...............y
ministream_data << "f9bace118c8200aa004ba90b8c000000" # 00000020: .........K......
ministream_data << generate_uri
ministream_data << "00000000795881f43b1d7f48af2c825d" # 000000a0: ....yX..;..H.,.]
ministream_data << "c485276300000000a5ab0000ffffffff" # 000000b0: ..'c............
ministream_data << "0609020000000000c000000000000046" # 000000c0: ...............F
ministream_data << "00000000ffffffff0000000000000000" # 000000d0: ................
ministream_data << "906660a637b5d2010000000000000000" # 000000e0: .f`.7...........
ministream_data << "00000000000000000000000000000000" # 000000f0: ................
ministream_data << "100203000d0000000000000000000000" # 00000100: ................
ministream_data << "00000000000000000000000000000000" # 00000110: ................
ministream_data << "00000000000000000000000000000000" # 00000120: ................
ministream_data << "00000000000000000000000000000000" # 00000130: ................
ministream_data << "00000000000000000000000000000000" # 00000140: ................
ministream_data << "00000000000000000000000000000000" # 00000150: ................
ministream_data << "00000000000000000000000000000000" # 00000160: ................
ministream_data << "00000000000000000000000000000000" # 00000170: ................
ministream_data << "00000000000000000000000000000000" # 00000180: ................
ministream_data << "00000000000000000000000000000000" # 00000190: ................
ministream_data << "00000000000000000000000000000000" # 000001a0: ................
ministream_data << "00000000000000000000000000000000" # 000001b0: ................
ministream_data << "00000000000000000000000000000000" # 000001c0: ................
ministream_data << "00000000000000000000000000000000" # 000001d0: ................
ministream_data << "00000000000000000000000000000000" # 000001e0: ................
ministream_data << "00000000000000000000000000000000" # 000001f0: ................

En appliquant un correctif il est possible d'éliminer le problème. Le correctif est disponible au téléchargement sur portal.msrc.microsoft.com. Une solution envisageable a été publiée 4 jours après la publication de la vulnérabilité.

La vulnérabilité est aussi documentée dans les base de données Exploit-DB (41934), Zero-Day.cz (444), Tenable (99285), SecurityFocus (BID 97498†) et SecurityTracker (ID 1038224†). If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Affecté

Microsoft Office 2007/2010/2013/2016
Microsoft Wordpad

Produitinformation

Taper

Office Suite Software

Fournisseur

Microsoft

Nom

Office

Version

Licence

commercial

Site web

Fournisseur: https://www.microsoft.com/

CPE 2.3information

CPE 2.2information

Capture d’écran

Vidéo

Ouvrir la vidéo | Afficher plus de vidéos

CVSSv4information

VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍

CVSSv3information

VulDB Score méta-base: 7.0
VulDB Score méta-temporaire: 6.9

VulDB Note de base: 6.3
VulDB Note temporaire: 6.0
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍

NVD Note de base: 7.8
NVD Vecteur: 🔍

CVSSv2information

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vecteur	Complexité	Authentification	Confidentialité	Intégrité	Disponibilité
Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller
Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller
Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller

VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍

NVD Note de base: 🔍

Exploitationinformation

Nom: Necurs Dridex
Classe: élévation de privilèges / Necurs Dridex
CWE: CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Physique: Partiellement
Local: Oui
Remote: Oui

Disponibilité: 🔍
Accès: Public
Statut: Attaqué
Wormified: 🔍
Fiabilité: 🔍
Langage de programmation: 🔍
Télécharger: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

KEV Ajouté: 🔍
KEV Jusqu'à quand: 🔍
KEV Contre-mesures: 🔍
KEV Ransomware: 🔍
KEV Avis: 🔍

Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍

0-Day	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller
Aujourd'hui	Déverrouiller	Déverrouiller	Déverrouiller	Déverrouiller

Nessus ID: 99285
Nessus Nom: Windows Server 2012 April 2017 Security Updates (Petya)
Nessus Fichier: 🔍
Nessus Risque: 🔍
Nessus Famille: 🔍
Nessus Context: 🔍

OpenVAS ID: 800218
OpenVAS Nom: Microsoft Windows Monthly Rollup (KB4015551)
OpenVAS Fichier: 🔍
OpenVAS Famille: 🔍

Saint ID: microsoft_word_wordpad_rtf
Saint Nom: Microsoft Word and WordPad RTF HTA handler command execution

Qualys ID: 🔍
Qualys Nom: 🔍

MetaSploit ID: office_word_hta.rb
MetaSploit Nom: Microsoft Office Word Malicious Hta Execution
MetaSploit Fichier: 🔍

Exploit-DB: 🔍
Zero-Day.cz: 🔍

Renseignements sur les menacesinformation

Intérêt: 🔍
Acteurs actifs: 🔍
Groupes APT actifs: 🔍

Contre-mesuresinformation

Recommandé: Correctif
Statut: 🔍

Temps de réaction: 🔍
Heure 0 jour: 🔍
Temps d'exposition: 🔍
Délai d'exploitation: 🔍

Correctif: portal.msrc.microsoft.com
Suricata ID: 2024224
Suricata Classe: 🔍
Suricata Message: 🔍

Chronologieinformation

09/09/2016 🔍
01/10/2016 +22 jours 🔍
07/04/2017 +188 jours 🔍
07/04/2017 +0 jours 🔍
11/04/2017 +4 jours 🔍
11/04/2017 +0 jours 🔍
11/04/2017 +0 jours 🔍
11/04/2017 +0 jours 🔍
11/04/2017 +0 jours 🔍
12/04/2017 +1 jours 🔍
25/04/2017 +13 jours 🔍
25/04/2017 +0 jours 🔍
09/09/2024 +2694 jours 🔍

Sourcesinformation

Fournisseur: microsoft.com

Bulletin: Critical Office Zero-Day Attacks Detected in the Wild
Chercheur: Haifei Li (SecuriTeam)
Organisation: McAfee
Statut: Confirmé
Confirmation: 🔍

CVE: CVE-2017-0199 (🔍)
GCVE (CVE): GCVE-0-2017-0199
GCVE (VulDB): GCVE-100-99533

OVAL: 🔍

SecurityFocus: 97498 - Microsoft Office OLE Feature Remote Code Execution Vulnerability
SecurityTracker: 1038224

scip Labs: https://www.scip.ch/en/?labs.20161013
Divers: 🔍
Voir aussi: 🔍

Entréeinformation

Créé: 11/04/2017 09:31
Mise à jour: 09/09/2024 22:29
Changements: 11/04/2017 09:31 (124), 21/10/2019 18:16 (2), 28/11/2022 08:52 (4), 19/04/2024 07:13 (22), 06/07/2024 08:25 (2), 24/07/2024 21:16 (1), 09/09/2024 22:29 (2)
Complet: 🔍
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Discussion

Aucun commentaire pour l'instant. Langues: fr + it + en.

Veuillez vous connecter pour commenter.

◂ Précédent Aperçu Suivant ▸

Do you need the next level of professionalism?

Upgrade your account now!