Symantec Endpoint Protection até 12.1 RU6 MP8 File System Elevação de Privilégios
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 8.1 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade foi encontrada em Symantec Endpoint Protection até 12.1 RU6 MP8. Foi declarada como crítico. Afetado é uma função desconhecida do componente File System Handler. A manipulação com uma entrada desconhecida leva a Elevação de Privilégios. Esta vulnerabilidade é conhecida como CVE-2017-13681. O ataque precisa ser realizado localmente. Não existe exploit disponível. Recomenda-se aplicar um patch para corrigir este problema.
Detalhes
Uma vulnerabilidade foi encontrada em Symantec Endpoint Protection até 12.1 RU6 MP8. Foi declarada como crítico. Afetado é uma função desconhecida do componente File System Handler. A manipulação com uma entrada desconhecida leva a Elevação de Privilégios. Usar a CWE para declarar o problema leva à CWE-264. O bug foi descoberto em 06/11/2017. A fraqueza foi publicada 06/11/2017 por Matthieu Buffet com ANSSI como SYM17-011 como Security Advisory (Site). O comunicado está disponível para download em symantec.com. O vendedor cooperou na coordenação do lançamento público.
Esta vulnerabilidade é conhecida como CVE-2017-13681. A atribuição do CVE ocorreu em 24/08/2017. O ataque precisa ser realizado localmente. Não há detalhes técnicos disponíveis. A popularidade desta vulnerabilidade está abaixo da média. Não existe exploit disponível. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. O projeto MITRE ATT&CK declara a técnica de ataque como T1068. O comunicado destaca:
The Symantec Endpoint Protection Windows endpoint could be susceptible to a privilege escalation vulnerability, which is a type of issue that allows a user to gain elevated access to resources that are normally protected at lower access levels. In the circumstances of this issue, the capability of exploit is limited by the need to perform multiple file and directory writes to the local filesystem and as such, is not feasible in a standard drive-by type attack.
É declarado como não definido. Como 0-day, o valor estimado no submundo era aproximadamente $5k-$25k. O Nessus oferece um plugin com o ID 104459 para detecção de vulnerabilidades. Encontra-se atribuído à família Windows. O plugin está em execução no contexto do tipo l. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 370647 (Symantec Endpoint Protection Multiple Security Vulnerabilities (SYM17-011)).
O nome da correção é 12.1 RU6 MP9. Recomenda-se aplicar um patch para corrigir este problema.
A vulnerabilidade está também documentada noutras bases de dados de vulnerabilidade: SecurityFocus (BID 101504) e Tenable (104459).
Produto
Tipo
Fabricante
Nome
Versão
Licença
Site
- Fabricante: https://www.symantec.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 8.5VulDB Meta Pontuação Temporária: 8.3
VulDB Pontuação Base: 8.8
VulDB Pontuação Temporária: 8.4
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
Fabricante Pontuação Base (Symantec): 8.8
Fabricante Vector (Symantec): 🔍
NVD Pontuação Base: 7.8
NVD Vetor: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Elevação de PrivilégiosCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Físico: Parcial
Local: Sim
Remoto: Não
Disponibilidade: 🔍
Estado: Não definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 104459
Nessus Nome: Symantec Endpoint Protection Client 12.1.x < 12.1 RU6 MP9 / 14.0.x < 14.0 RU1 Multiple Vulnerabilities (SYM17-011)
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Nessus Context: 🔍
OpenVAS ID: 804245
OpenVAS Nome: Symantec Endpoint Protection Privilege Escalation Vulnerability (SYM17-011)
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍
Qualys ID: 🔍
Qualys Nome: 🔍
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: PatchEstado: 🔍
Tempo 0-dia: 🔍
Patch: 12.1 RU6 MP9
Linha do tempo
24/08/2017 🔍20/10/2017 🔍
06/11/2017 🔍
06/11/2017 🔍
06/11/2017 🔍
06/11/2017 🔍
07/11/2017 🔍
08/11/2017 🔍
23/01/2021 🔍
Fontes
Fabricante: symantec.comAconselhamento: SYM17-011
Pessoa: Matthieu Buffet
Empresa: ANSSI
Estado: Confirmado
Confirmação: 🔍
Coordenado: 🔍
CVE: CVE-2017-13681 (🔍)
GCVE (CVE): GCVE-0-2017-13681
GCVE (VulDB): GCVE-100-109155
SecurityFocus: 101504 - Symantec Endpoint Protection Manager CVE-2017-13681 Local Privilege Escalation Vulnerability
SecurityTracker: 1039775
Veja também: 🔍
Entrada
Criado: 07/11/2017 08h02Atualizado: 23/01/2021 08h38
Ajustamentos: 07/11/2017 08h02 (93), 04/12/2019 16h32 (2), 23/01/2021 08h38 (2)
Completo: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.