Microsoft Office 2007/2010/2013/2016 RTF Document Necurs Dridex эскалация привилегий
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 6.9 | $0-$5k | 0.00 |
Сводка
Уязвимость была найдена в Microsoft Office 2007/2010/2013/2016. Она была классифицирована как очень критический. Вовлечена неизвестная функция компонента RTF Document Handler. Манипуляция приводит к эскалация привилегий (Necurs Dridex). Эта уязвимость была названа CVE-2017-0199. Атака может быть осуществлена удаленно. Кроме того, имеется доступный эксплойт. Благодаря своему происхождению и приему, эта уязвимость имеет историческое значение. Червь распространяется, автоматически используя эту уязвимость. Рекомендуется применить обновление для устранения данной уязвимости.
Подробности
Уязвимость была найдена в Microsoft Office 2007/2010/2013/2016. Она была классифицирована как очень критический. Вовлечена неизвестная функция компонента RTF Document Handler. Манипуляция приводит к эскалация привилегий (Necurs Dridex). Использование CWE для описания проблемы приводит к CWE-284. Данный баг был выявлен 11.04.2017. Слабость была опубликована 07.04.2017 специалистом Haifei Li (SecuriTeam) от компании McAfee под идентификатором Critical Office Zero-Day Attacks Detected in the Wild как Article (Веб-сайт). Документ доступен для загрузки по адресу securingtomorrow.mcafee.com. Публичный релиз произошёл без координации с поставщиком.
Эта уязвимость была названа CVE-2017-0199. CVE был назначен 09.09.2016. Атака может быть осуществлена удаленно. Техническая информация отсутствует. Популярность этой уязвимости выше среднего. Кроме того, имеется доступный эксплойт. Эксплойт опубликован и может быть использован. На текущий момент стоимость эксплойта может быть примерно USD $0-$5k. Техника атаки по классификации MITRE ATT&CK: T1068. Благодаря своему происхождению и приему, эта уязвимость имеет историческое значение. В бюллетене отмечено:
Yesterday, we observed suspicious activities from some samples. After quick but in-depth research, this morning we have confirmed these samples are exploiting a vulnerability in Microsoft Windows and Office that is not yet patched.
Это объявлено как Высокофункциональный. Эксплойт доступен для загрузки на сайте exploit-db.com. Уязвимость оставалась в статусе непубличного эксплойта нулевого дня не менее 188 дней. В 0-дневный период предполагаемая подземная цена составляла около $25k-$100k. Червь распространяется, автоматически используя эту уязвимость. Исходный код эксплойта:
ministream_data << "01000002090000000100000000000000" # 00000000: ................ ministream_data << "0000000000000000a4000000e0c9ea79" # 00000010: ...............y ministream_data << "f9bace118c8200aa004ba90b8c000000" # 00000020: .........K...... ministream_data << generate_uri ministream_data << "00000000795881f43b1d7f48af2c825d" # 000000a0: ....yX..;..H.,.] ministream_data << "c485276300000000a5ab0000ffffffff" # 000000b0: ..'c............ ministream_data << "0609020000000000c000000000000046" # 000000c0: ...............F ministream_data << "00000000ffffffff0000000000000000" # 000000d0: ................ ministream_data << "906660a637b5d2010000000000000000" # 000000e0: .f`.7........... ministream_data << "00000000000000000000000000000000" # 000000f0: ................ ministream_data << "100203000d0000000000000000000000" # 00000100: ................ ministream_data << "00000000000000000000000000000000" # 00000110: ................ ministream_data << "00000000000000000000000000000000" # 00000120: ................ ministream_data << "00000000000000000000000000000000" # 00000130: ................ ministream_data << "00000000000000000000000000000000" # 00000140: ................ ministream_data << "00000000000000000000000000000000" # 00000150: ................ ministream_data << "00000000000000000000000000000000" # 00000160: ................ ministream_data << "00000000000000000000000000000000" # 00000170: ................ ministream_data << "00000000000000000000000000000000" # 00000180: ................ ministream_data << "00000000000000000000000000000000" # 00000190: ................ ministream_data << "00000000000000000000000000000000" # 000001a0: ................ ministream_data << "00000000000000000000000000000000" # 000001b0: ................ ministream_data << "00000000000000000000000000000000" # 000001c0: ................ ministream_data << "00000000000000000000000000000000" # 000001d0: ................ ministream_data << "00000000000000000000000000000000" # 000001e0: ................ ministream_data << "00000000000000000000000000000000" # 000001f0: ................В уведомлении отмечается:
The samples we have detected are organized as Word files (more specially, RTF files with “.doc” extension name). (...) The exploit connects to a remote server (controlled by the attacker), downloads a file that contains HTML application content, and executes it as an .hta file. Because .hta is executable, the attacker gains full code execution on the victim’s machine. Thus, this is a logical bug, and gives the attackers the power to bypass any memory-based mitigations developed by Microsoft.Сканер уязвимостей Nessus содержит плагин с ID 99285. Это относится к семейству Windows : Microsoft Bulletins. Этот плагин выполняется в контексте типа l. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 110297 (Microsoft Office and Microsoft Office Services and Web Apps Security Update April 2017).
Патч можно скачать на portal.msrc.microsoft.com. Рекомендуется применить обновление для устранения данной уязвимости. Возможное средство устранения было опубликовано через 4 дни после раскрытия уязвимости. В уведомлении содержится следующий комментарий:
Do not open any Office files obtained from untrusted locations. According to our tests, this active attack cannot bypass the Office Protected View, so we suggest everyone ensure that Office Protected View is enabled.
Уязвимость также задокументирована в других базах данных уязвимостей: SecurityFocus (BID 97498), SecurityTracker (ID 1038224) и Tenable (99285).
Затронуто
- Microsoft Office 2007/2010/2013/2016
- Microsoft Wordpad
Продукт
Тип
Поставщик
Имя
Версия
Лицензия
Веб-сайт
- Поставщик: https://www.microsoft.com/
CPE 2.3
CPE 2.2
Скриншот
Видео
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 7.0VulDB Meta Temp Score: 6.9
VulDB Базовый балл: 6.3
VulDB Временная оценка: 6.0
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
NVD Базовый балл: 7.8
NVD Вектор: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
NVD Базовый балл: 🔍
Эксплуатация
Имя: Necurs DridexКласс: эскалация привилегий / Necurs Dridex
CWE: CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Физический: Частично
Локальный: Да
Удалённый: Да
Доступность: 🔍
Доступ: публичный
Статус: Атакованный
Wormified: 🔍
Надёжность: 🔍
Язык программирования: 🔍
Скачать: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Добавлено: 🔍
KEV До какого времени: 🔍
KEV Устранение последствий: 🔍
KEV Ransomware: 🔍
KEV Уведомление: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Nessus ID: 99285
Nessus Имя: Windows Server 2012 April 2017 Security Updates (Petya)
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
Nessus Context: 🔍
OpenVAS ID: 800218
OpenVAS Имя: Microsoft Windows Monthly Rollup (KB4015551)
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍
Saint ID: microsoft_word_wordpad_rtf
Saint Имя: Microsoft Word and WordPad RTF HTA handler command execution
Qualys ID: 🔍
Qualys Имя: 🔍
MetaSploit ID: office_word_hta.rb
MetaSploit Имя: Microsoft Office Word Malicious Hta Execution
MetaSploit Файл: 🔍
Exploit-DB: 🔍
Zero-Day.cz: 🔍
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ПатчСтатус: 🔍
Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍
Задержка эксплуатации: 🔍
Патч: portal.msrc.microsoft.com
Suricata ID: 2024224
Suricata Класс: 🔍
Suricata Сообщение: 🔍
Хронология
09.09.2016 🔍01.10.2016 🔍
07.04.2017 🔍
07.04.2017 🔍
11.04.2017 🔍
11.04.2017 🔍
11.04.2017 🔍
11.04.2017 🔍
11.04.2017 🔍
12.04.2017 🔍
25.04.2017 🔍
25.04.2017 🔍
09.09.2024 🔍
Источники
Поставщик: microsoft.comКонсультация: Critical Office Zero-Day Attacks Detected in the Wild
Исследователь: Haifei Li (SecuriTeam)
Организация: McAfee
Статус: Подтверждённый
Подтверждение: 🔍
CVE: CVE-2017-0199 (🔍)
GCVE (CVE): GCVE-0-2017-0199
GCVE (VulDB): GCVE-100-99533
OVAL: 🔍
SecurityFocus: 97498 - Microsoft Office OLE Feature Remote Code Execution Vulnerability
SecurityTracker: 1038224
scip Labs: https://www.scip.ch/en/?labs.20161013
Разное: 🔍
Смотрите также: 🔍
Вход
Создано: 11.04.2017 09:31Обновлено: 09.09.2024 22:29
Изменения: 11.04.2017 09:31 (124), 21.10.2019 18:16 (2), 28.11.2022 08:52 (4), 19.04.2024 07:13 (22), 06.07.2024 08:25 (2), 24.07.2024 21:16 (1), 09.09.2024 22:29 (2)
Завершенный: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.