Microsoft Office 2007/2010/2013/2016 RTF Document Necurs Dridex 特権昇格
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 6.9 | $0-$5k | 0.00 |
要約
現在、Microsoft Office 2007/2010/2013/2016にて、非常に重大と分類される脆弱性が確認されています。 影響を受けるのは、コンポーネント【RTF Document Handler】の未知の関数です。 この操作は、 特権昇格 (Necurs Dridex)を引き起こします。 この脆弱性はCVE-2017-0199として知られています。 攻撃はリモートで開始される可能性が高いです。 さらに、悪用手段が存在します。 この脆弱性は、背景や反響のために歴史的な影響を及ぼしています。 この脆弱性を利用して自動的に拡散するワームが存在します。 この問題の修正にはパッチの適用が推奨されます。
詳細
現在、Microsoft Office 2007/2010/2013/2016にて、非常に重大と分類される脆弱性が確認されています。 影響を受けるのは、コンポーネント【RTF Document Handler】の未知の関数です。 この操作は、 特権昇格 (Necurs Dridex)を引き起こします。 CWEを使用して問題を宣言すると、CWE-284 につながります。 バグが発見されたのは2017年04月11日です。 この脆弱性は 2017年04月07日に McAfeeの Haifei Li (SecuriTeam)より「ウェブサイト」の Articleにて 「Critical Office Zero-Day Attacks Detected in the Wild」として 紹介されました。 アドバイザリーは securingtomorrow.mcafee.com で共有されています。 ベンダーとの調整なしに公開されました。
この脆弱性はCVE-2017-0199として知られています。 CVEの割当は2016年09月09日で行われました。 攻撃はリモートで開始される可能性が高いです。 技術的な情報は提供されていません。 この脆弱性は一般的なものよりも人気があります。 さらに、悪用手段が存在します。 このエクスプロイトは一般に公開されており、利用される恐れがあります。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは、攻撃手法を T1068 と定義しています。 この脆弱性は、背景や反響のために歴史的な影響を及ぼしています。 アドバイザリは以下の内容を示しています:
Yesterday, we observed suspicious activities from some samples. After quick but in-depth research, this morning we have confirmed these samples are exploiting a vulnerability in Microsoft Windows and Office that is not yet patched.
このエクスプロイトツールは 高度に機能的 として宣言されています。 エクスプロイトツールは exploit-db.com からダウンロードできます。 この脆弱性は少なくとも188日間、非公開のゼロデイ脆弱性として扱われていました。 0-dayの際、アンダーグラウンド市場での想定価格は$25k-$100k前後でした。 この脆弱性を利用して自動的に拡散するワームが存在します。 エクスプロイトのソースコードは以下です:
ministream_data << "01000002090000000100000000000000" # 00000000: ................ ministream_data << "0000000000000000a4000000e0c9ea79" # 00000010: ...............y ministream_data << "f9bace118c8200aa004ba90b8c000000" # 00000020: .........K...... ministream_data << generate_uri ministream_data << "00000000795881f43b1d7f48af2c825d" # 000000a0: ....yX..;..H.,.] ministream_data << "c485276300000000a5ab0000ffffffff" # 000000b0: ..'c............ ministream_data << "0609020000000000c000000000000046" # 000000c0: ...............F ministream_data << "00000000ffffffff0000000000000000" # 000000d0: ................ ministream_data << "906660a637b5d2010000000000000000" # 000000e0: .f`.7........... ministream_data << "00000000000000000000000000000000" # 000000f0: ................ ministream_data << "100203000d0000000000000000000000" # 00000100: ................ ministream_data << "00000000000000000000000000000000" # 00000110: ................ ministream_data << "00000000000000000000000000000000" # 00000120: ................ ministream_data << "00000000000000000000000000000000" # 00000130: ................ ministream_data << "00000000000000000000000000000000" # 00000140: ................ ministream_data << "00000000000000000000000000000000" # 00000150: ................ ministream_data << "00000000000000000000000000000000" # 00000160: ................ ministream_data << "00000000000000000000000000000000" # 00000170: ................ ministream_data << "00000000000000000000000000000000" # 00000180: ................ ministream_data << "00000000000000000000000000000000" # 00000190: ................ ministream_data << "00000000000000000000000000000000" # 000001a0: ................ ministream_data << "00000000000000000000000000000000" # 000001b0: ................ ministream_data << "00000000000000000000000000000000" # 000001c0: ................ ministream_data << "00000000000000000000000000000000" # 000001d0: ................ ministream_data << "00000000000000000000000000000000" # 000001e0: ................ ministream_data << "00000000000000000000000000000000" # 000001f0: ................勧告は以下のように述べています:
The samples we have detected are organized as Word files (more specially, RTF files with “.doc” extension name). (...) The exploit connects to a remote server (controlled by the attacker), downloads a file that contains HTML application content, and executes it as an .hta file. Because .hta is executable, the attacker gains full code execution on the victim’s machine. Thus, this is a logical bug, and gives the attackers the power to bypass any memory-based mitigations developed by Microsoft.脆弱性診断ツールNessusは、ID 99285のプラグインを用意しています。 Windows : Microsoft Bulletins ファミリーに分類されています。 プラグインはlタイプのコンテキストで動作しています。 商用脆弱性スキャナーQualysではプラグイン【 110297 (Microsoft Office and Microsoft Office Services and Web Apps Security Update April 2017) 】を使用してこの問題をテストできます。
修正プログラムはportal.msrc.microsoft.comでダウンロードできます。 この問題の修正にはパッチの適用が推奨されます。 脆弱性の開示から 4 日 後に、可能な緩和策が公表されました。 アドバイザリには次の注記が含まれています:
Do not open any Office files obtained from untrusted locations. According to our tests, this active attack cannot bypass the Office Protected View, so we suggest everyone ensure that Office Protected View is enabled.
脆弱性は「SecurityFocus (BID 97498), SecurityTracker (ID 1038224) , Tenable (99285)」等の脆弱性データベースにも文書化されています。
影響あり
- Microsoft Office 2007/2010/2013/2016
- Microsoft Wordpad
製品
タイプ
ベンダー
名前
バージョン
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
スクリーンショット
ビデオ
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 7.0VulDB 一時的なメタスコア: 6.9
VulDB ベーススコア: 6.3
VulDB 一時的なスコア: 6.0
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 7.8
NVD ベクトル: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
名前: Necurs Dridexクラス: 特権昇格 / Necurs Dridex
CWE: CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
物理的: 部分的
ローカル: はい
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 攻撃された
Wormified: 🔍
信頼性: 🔍
プログラミング言語: 🔍
ダウンロード: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV 追加: 🔍
KEV いつまで: 🔍
KEV 修復: 🔍
KEV Ransomware: 🔍
KEV 通知: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 99285
Nessus 名前: Windows Server 2012 April 2017 Security Updates (Petya)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Context: 🔍
OpenVAS ID: 800218
OpenVAS 名前: Microsoft Windows Monthly Rollup (KB4015551)
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Saint ID: microsoft_word_wordpad_rtf
Saint 名前: Microsoft Word and WordPad RTF HTA handler command execution
Qualys ID: 🔍
Qualys 名前: 🔍
MetaSploit ID: office_word_hta.rb
MetaSploit 名前: Microsoft Office Word Malicious Hta Execution
MetaSploit ファイル: 🔍
Exploit-DB: 🔍
Zero-Day.cz: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: パッチステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
エクスプロイト遅延時間: 🔍
パッチ: portal.msrc.microsoft.com
Suricata ID: 2024224
Suricata クラス: 🔍
Suricata メッセージ: 🔍
タイムライン
2016年09月09日 🔍2016年10月01日 🔍
2017年04月07日 🔍
2017年04月07日 🔍
2017年04月11日 🔍
2017年04月11日 🔍
2017年04月11日 🔍
2017年04月11日 🔍
2017年04月11日 🔍
2017年04月12日 🔍
2017年04月25日 🔍
2017年04月25日 🔍
2024年09月09日 🔍
ソース
ベンダー: microsoft.com勧告: Critical Office Zero-Day Attacks Detected in the Wild
調査者: Haifei Li (SecuriTeam)
組織: McAfee
ステータス: 確認済み
確認: 🔍
CVE: CVE-2017-0199 (🔍)
GCVE (CVE): GCVE-0-2017-0199
GCVE (VulDB): GCVE-100-99533
OVAL: 🔍
SecurityFocus: 97498 - Microsoft Office OLE Feature Remote Code Execution Vulnerability
SecurityTracker: 1038224
scip Labs: https://www.scip.ch/en/?labs.20161013
その他: 🔍
関連情報: 🔍
エントリ
作成済み: 2017年04月11日 09:31更新済み: 2024年09月09日 22:29
変更: 2017年04月11日 09:31 (124), 2019年10月21日 18:16 (2), 2022年11月28日 08:52 (4), 2024年04月19日 07:13 (22), 2024年07月06日 08:25 (2), 2024年07月24日 21:16 (1), 2024年09月09日 22:29 (2)
完了: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。