Microsoft Office 2007/2010/2013/2016 RTF Document Necurs Dridex Elevação de Privilégios
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 6.9 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade foi encontrada em Microsoft Office 2007/2010/2013/2016. Foi classificada como muito crítico. O elemento afetado é uma função não identificada no componente RTF Document Handler. O tratamento leva a Elevação de Privilégios (Necurs Dridex). Esta vulnerabilidade é identificada como CVE-2017-0199. É possível lançar o ataque remotamente. Além disso, um exploit está disponível. Esta vulnerabilidade tem um impacto histórico devido ao seu contexto e recepção. Um verme está se espalhando, explorando esta vulnerabilidade automaticamente. Recomenda-se instalar um patch para corrigir esta vulnerabilidade.
Detalhes
Uma vulnerabilidade foi encontrada em Microsoft Office 2007/2010/2013/2016. Foi classificada como muito crítico. O elemento afetado é uma função não identificada no componente RTF Document Handler. O tratamento leva a Elevação de Privilégios (Necurs Dridex). Usar CWE para declarar o problema leva a CWE-284. A vulnerabilidade foi identificada em 11/04/2017. O problema foi divulgado 07/04/2017 por Haifei Li (SecuriTeam) com McAfee como Critical Office Zero-Day Attacks Detected in the Wild como Article (Site). O comunicado foi disponibilizado para download em securingtomorrow.mcafee.com. O vendedor não esteve envolvido na coordenação do lançamento público.
Esta vulnerabilidade é identificada como CVE-2017-0199. A atribuição do identificador CVE aconteceu em 09/09/2016. É possível lançar o ataque remotamente. Nenhuma informação técnica disponível. Esta vulnerabilidade é mais popular do que a média. Além disso, um exploit está disponível. O exploit foi exposto ao público e pode ser aproveitado. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. O projeto MITRE ATT&CK identifica a técnica de ataque como T1068. Esta vulnerabilidade tem um impacto histórico devido ao seu contexto e recepção. O boletim informa:
Yesterday, we observed suspicious activities from some samples. After quick but in-depth research, this morning we have confirmed these samples are exploiting a vulnerability in Microsoft Windows and Office that is not yet patched.
Está declarado como altamente funcional. A exploração está disponível em exploit-db.com. A vulnerabilidade foi tratada como uma exploração não pública de dia zero durante pelo menos 188 dias. Como 0 dia, o preço estimado do subsolo foi de cerca de $25k-$100k. Um verme está se espalhando, explorando esta vulnerabilidade automaticamente. Segue o código empregado pelo exploit:
ministream_data << "01000002090000000100000000000000" # 00000000: ................ ministream_data << "0000000000000000a4000000e0c9ea79" # 00000010: ...............y ministream_data << "f9bace118c8200aa004ba90b8c000000" # 00000020: .........K...... ministream_data << generate_uri ministream_data << "00000000795881f43b1d7f48af2c825d" # 000000a0: ....yX..;..H.,.] ministream_data << "c485276300000000a5ab0000ffffffff" # 000000b0: ..'c............ ministream_data << "0609020000000000c000000000000046" # 000000c0: ...............F ministream_data << "00000000ffffffff0000000000000000" # 000000d0: ................ ministream_data << "906660a637b5d2010000000000000000" # 000000e0: .f`.7........... ministream_data << "00000000000000000000000000000000" # 000000f0: ................ ministream_data << "100203000d0000000000000000000000" # 00000100: ................ ministream_data << "00000000000000000000000000000000" # 00000110: ................ ministream_data << "00000000000000000000000000000000" # 00000120: ................ ministream_data << "00000000000000000000000000000000" # 00000130: ................ ministream_data << "00000000000000000000000000000000" # 00000140: ................ ministream_data << "00000000000000000000000000000000" # 00000150: ................ ministream_data << "00000000000000000000000000000000" # 00000160: ................ ministream_data << "00000000000000000000000000000000" # 00000170: ................ ministream_data << "00000000000000000000000000000000" # 00000180: ................ ministream_data << "00000000000000000000000000000000" # 00000190: ................ ministream_data << "00000000000000000000000000000000" # 000001a0: ................ ministream_data << "00000000000000000000000000000000" # 000001b0: ................ ministream_data << "00000000000000000000000000000000" # 000001c0: ................ ministream_data << "00000000000000000000000000000000" # 000001d0: ................ ministream_data << "00000000000000000000000000000000" # 000001e0: ................ ministream_data << "00000000000000000000000000000000" # 000001f0: ................O comunicado destaca:
The samples we have detected are organized as Word files (more specially, RTF files with “.doc” extension name). (...) The exploit connects to a remote server (controlled by the attacker), downloads a file that contains HTML application content, and executes it as an .hta file. Because .hta is executable, the attacker gains full code execution on the victim’s machine. Thus, this is a logical bug, and gives the attackers the power to bypass any memory-based mitigations developed by Microsoft.O scanner de vulnerabilidades Nessus fornece um plugin com o ID 99285. Pertence à família Windows : Microsoft Bulletins. O plugin opera no contexto do tipo l. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 110297 (Microsoft Office and Microsoft Office Services and Web Apps Security Update April 2017).
O patch pode ser baixado em portal.msrc.microsoft.com. Recomenda-se instalar um patch para corrigir esta vulnerabilidade. Uma possível mitigação foi publicada 4 dias após a divulgação da vulnerabilidade. O parecer contém a seguinte observação:
Do not open any Office files obtained from untrusted locations. According to our tests, this active attack cannot bypass the Office Protected View, so we suggest everyone ensure that Office Protected View is enabled.
Outros bancos de dados de vulnerabilidades também documentam esta vulnerabilidade: SecurityFocus (BID 97498), SecurityTracker (ID 1038224) e Tenable (99285).
Afetado
- Microsoft Office 2007/2010/2013/2016
- Microsoft Wordpad
Produto
Tipo
Fabricante
Nome
Versão
Licença
Site
- Fabricante: https://www.microsoft.com/
CPE 2.3
CPE 2.2
Captura de tela
Vídeo
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 7.0VulDB Meta Pontuação Temporária: 6.9
VulDB Pontuação Base: 6.3
VulDB Pontuação Temporária: 6.0
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 7.8
NVD Vetor: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Nome: Necurs DridexClasse: Elevação de Privilégios / Necurs Dridex
CWE: CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Físico: Parcial
Local: Sim
Remoto: Sim
Disponibilidade: 🔍
Acesso: Público
Estado: Atacado
Wormified: 🔍
Fiabilidade: 🔍
Linguagem de programação: 🔍
Descarregar: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Adicionado: 🔍
KEV Até quando: 🔍
KEV Medidas: 🔍
KEV Ransomware: 🔍
KEV Nota: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 99285
Nessus Nome: Windows Server 2012 April 2017 Security Updates (Petya)
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Nessus Context: 🔍
OpenVAS ID: 800218
OpenVAS Nome: Microsoft Windows Monthly Rollup (KB4015551)
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍
Saint ID: microsoft_word_wordpad_rtf
Saint Nome: Microsoft Word and WordPad RTF HTA handler command execution
Qualys ID: 🔍
Qualys Nome: 🔍
MetaSploit ID: office_word_hta.rb
MetaSploit Nome: Microsoft Office Word Malicious Hta Execution
MetaSploit Ficheiro: 🔍
Exploit-DB: 🔍
Zero-Day.cz: 🔍
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: PatchEstado: 🔍
Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍
Tempo de atraso de exploração: 🔍
Patch: portal.msrc.microsoft.com
Suricata ID: 2024224
Suricata Classe: 🔍
Suricata Mensagem: 🔍
Linha do tempo
09/09/2016 🔍01/10/2016 🔍
07/04/2017 🔍
07/04/2017 🔍
11/04/2017 🔍
11/04/2017 🔍
11/04/2017 🔍
11/04/2017 🔍
11/04/2017 🔍
12/04/2017 🔍
25/04/2017 🔍
25/04/2017 🔍
09/09/2024 🔍
Fontes
Fabricante: microsoft.comAconselhamento: Critical Office Zero-Day Attacks Detected in the Wild
Pessoa: Haifei Li (SecuriTeam)
Empresa: McAfee
Estado: Confirmado
Confirmação: 🔍
CVE: CVE-2017-0199 (🔍)
GCVE (CVE): GCVE-0-2017-0199
GCVE (VulDB): GCVE-100-99533
OVAL: 🔍
SecurityFocus: 97498 - Microsoft Office OLE Feature Remote Code Execution Vulnerability
SecurityTracker: 1038224
scip Labs: https://www.scip.ch/en/?labs.20161013
Vários: 🔍
Veja também: 🔍
Entrada
Criado: 11/04/2017 09h31Atualizado: 09/09/2024 22h29
Ajustamentos: 11/04/2017 09h31 (124), 21/10/2019 18h16 (2), 28/11/2022 08h52 (4), 19/04/2024 07h13 (22), 06/07/2024 08h25 (2), 24/07/2024 21h16 (1), 09/09/2024 22h29 (2)
Completo: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.