Microsoft Windows 10/Server 2016 Device Guard Security Feature Signature Elevação de Privilégios
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade classificada como crítico foi encontrada em Microsoft Windows 10/Server 2016. A função afetada é desconhecida do componente Device Guard Security Feature. A manipulação com uma entrada desconhecida leva a Elevação de Privilégios. Esta vulnerabilidade está registrada como CVE-2017-11830. É necessário acesso local para realizar o ataque. Além do mais, um exploit está disponível. É aconselhável instalar um patch para solucionar este problema.
Detalhes
Uma vulnerabilidade classificada como crítico foi encontrada em Microsoft Windows 10/Server 2016. A função afetada é desconhecida do componente Device Guard Security Feature. A manipulação com uma entrada desconhecida leva a Elevação de Privilégios. Usar CWE para declarar o problema leva a CWE-254. O bug foi descoberto em 14/11/2017. A fraqueza foi publicada 14/11/2017 por James Forshaw com Google Project Zero como KB4048956 como Security Update Guide (Site). O boletim está compartilhado para download em portal.msrc.microsoft.com.
Esta vulnerabilidade está registrada como CVE-2017-11830. O CVE foi atribuído em 31/07/2017. É necessário acesso local para realizar o ataque. Detalhes técnicos não estão disponíveis. Esta vulnerabilidade tem popularidade abaixo da média. Além do mais, um exploit está disponível. O exploit está disponível publicamente e pode ser explorado. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. A técnica de ataque utilizada por esta edição é T1211 de acordo com MITRE ATT&CK. A recomendação ressalta:
A security feature bypass exists when Device Guard incorrectly validates an untrusted file. An attacker who successfully exploited this vulnerability could make an unsigned file appear to be signed. Because Device Guard relies on the signature to determine the file is non-malicious, Device Guard could then allow a malicious file to execute.
É declarado como prova de conceito. A exploração é partilhada para download em exploit-db.com. Como 0 dia, o preço estimado do subsolo foi de cerca de $25k-$100k. O plugin de ID 104552 é fornecido pelo scanner de vulnerabilidades Nessus. Foi atribuído à família Windows : Microsoft Bulletins. O plugin está sendo executado no contexto do tipo l. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 91414 (Microsoft Windows Security Update November 2017).
O nome do patch é KB4048956. O bugfix está pronto para download em catalog.update.microsoft.com. É aconselhável instalar um patch para solucionar este problema.
Esta vulnerabilidade também foi registrada em outros bancos de dados de vulnerabilidades: SecurityFocus (BID 101714) e Tenable (104552).
Produto
Tipo
Fabricante
Nome
Versão
Licença
Site
- Fabricante: https://www.microsoft.com/
- Produto: https://www.microsoft.com/en-us/windows
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 5.3VulDB Meta Pontuação Temporária: 5.1
VulDB Pontuação Base: 5.3
VulDB Pontuação Temporária: 4.8
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
Fabricante Pontuação Base (Microsoft): 5.3
Fabricante Vector (Microsoft): 🔍
NVD Pontuação Base: 5.3
NVD Vetor: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Nome: SignatureClasse: Elevação de Privilégios / Signature
CWE: CWE-254
CAPEC: 🔍
ATT&CK: 🔍
Físico: Parcial
Local: Sim
Remoto: Não
Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito
Descarregar: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 104552
Nessus Nome: KB4048956: Windows 10 LTSB November 2017 Cumulative Update
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Nessus Context: 🔍
OpenVAS ID: 880598
OpenVAS Nome: Microsoft Windows Multiple Vulnerabilities (KB4048956)
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍
Qualys ID: 🔍
Qualys Nome: 🔍
Exploit-DB: 🔍
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: PatchEstado: 🔍
Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍
Patch: KB4048956
Linha do tempo
31/07/2017 🔍14/11/2017 🔍
14/11/2017 🔍
14/11/2017 🔍
14/11/2017 🔍
14/11/2017 🔍
14/11/2017 🔍
15/11/2017 🔍
23/01/2021 🔍
Fontes
Fabricante: microsoft.comProduto: microsoft.com
Aconselhamento: KB4048956
Pessoa: James Forshaw
Empresa: Google Project Zero
Estado: Confirmado
Confirmação: 🔍
CVE: CVE-2017-11830 (🔍)
GCVE (CVE): GCVE-0-2017-11830
GCVE (VulDB): GCVE-100-109367
OVAL: 🔍
SecurityFocus: 101714 - Microsoft Windows Device Guard CVE-2017-11830 Security Bypass Vulnerability
SecurityTracker: 1039790
scip Labs: https://www.scip.ch/en/?labs.20161215
Veja também: 🔍
Entrada
Criado: 15/11/2017 10h33Atualizado: 23/01/2021 14h41
Ajustamentos: 15/11/2017 10h33 (91), 06/12/2019 10h28 (10), 23/01/2021 14h41 (3)
Completo: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.