Microsoft Office 2007/2010/2013/2016 RTF Document Necurs Dridex 权限提升
| CVSS 元临时分数 | 当前攻击价格 (≈) | CTI兴趣分数 |
|---|---|---|
| 6.9 | $0-$5k | 0.00 |
摘要
在Microsoft Office 2007/2010/2013/2016中曾发现一漏洞,此漏洞被分类为非常致命。 此漏洞会影响未知部件的组件RTF Document Handler。 在被操纵的情况下,会引发 权限提升(Necurs Dridex)。 该漏洞被命名为CVE-2017-0199, 远程可以启动攻击, 另外,有可用的漏洞利用。 鉴于该漏洞的背景和业界反应,它具有历史意义。 一种能够自动利用此漏洞的蠕虫正在扩散。 建议修补漏洞以消除此问题。
细节
在Microsoft Office 2007/2010/2013/2016中曾发现一漏洞,此漏洞被分类为非常致命。 此漏洞会影响未知部件的组件RTF Document Handler。 在被操纵的情况下,会引发 权限提升(Necurs Dridex)。 使用 CWE 声明该问题会导致 CWE-284。 在2017-04-11,发现了该漏洞。 此漏洞的脆弱性 2017-04-07由公示人Haifei Li (SecuriTeam)、公示人所属公司McAfee、公示人身份Critical Office Zero-Day Attacks Detected in the Wild、公示人类型为Article (网站)所提交。 该安全通告已在 securingtomorrow.mcafee.com 提供下载。 供应商未参与协调此次公开发布。
该漏洞被命名为CVE-2017-0199, 2016-09-09是CVE分配的时间。 远程可以启动攻击, 暂无技术细节。 此漏洞的流行程度高于常规。 另外,有可用的漏洞利用。 该漏洞的利用方式已向公众披露,存在被利用的风险。 现在,可能约为美元 $0-$5k。 MITRE ATT&CK 项目将该攻击技术定义为 T1068。 鉴于该漏洞的背景和业界反应,它具有历史意义。 公告内容如下:
Yesterday, we observed suspicious activities from some samples. After quick but in-depth research, this morning we have confirmed these samples are exploiting a vulnerability in Microsoft Windows and Office that is not yet patched.
若长度存在,则声明为 高功能性。 可以在exploit-db.com下载该漏洞利用。 该漏洞被作为非公开的零日漏洞利用,持续了至少 188 天。 该0day漏洞在地下市场的估算价格大约是$25k-$100k。 一种能够自动利用此漏洞的蠕虫正在扩散。 漏洞利用所使用的源代码如下:
ministream_data << "01000002090000000100000000000000" # 00000000: ................ ministream_data << "0000000000000000a4000000e0c9ea79" # 00000010: ...............y ministream_data << "f9bace118c8200aa004ba90b8c000000" # 00000020: .........K...... ministream_data << generate_uri ministream_data << "00000000795881f43b1d7f48af2c825d" # 000000a0: ....yX..;..H.,.] ministream_data << "c485276300000000a5ab0000ffffffff" # 000000b0: ..'c............ ministream_data << "0609020000000000c000000000000046" # 000000c0: ...............F ministream_data << "00000000ffffffff0000000000000000" # 000000d0: ................ ministream_data << "906660a637b5d2010000000000000000" # 000000e0: .f`.7........... ministream_data << "00000000000000000000000000000000" # 000000f0: ................ ministream_data << "100203000d0000000000000000000000" # 00000100: ................ ministream_data << "00000000000000000000000000000000" # 00000110: ................ ministream_data << "00000000000000000000000000000000" # 00000120: ................ ministream_data << "00000000000000000000000000000000" # 00000130: ................ ministream_data << "00000000000000000000000000000000" # 00000140: ................ ministream_data << "00000000000000000000000000000000" # 00000150: ................ ministream_data << "00000000000000000000000000000000" # 00000160: ................ ministream_data << "00000000000000000000000000000000" # 00000170: ................ ministream_data << "00000000000000000000000000000000" # 00000180: ................ ministream_data << "00000000000000000000000000000000" # 00000190: ................ ministream_data << "00000000000000000000000000000000" # 000001a0: ................ ministream_data << "00000000000000000000000000000000" # 000001b0: ................ ministream_data << "00000000000000000000000000000000" # 000001c0: ................ ministream_data << "00000000000000000000000000000000" # 000001d0: ................ ministream_data << "00000000000000000000000000000000" # 000001e0: ................ ministream_data << "00000000000000000000000000000000" # 000001f0: ................通告提到:
The samples we have detected are organized as Word files (more specially, RTF files with “.doc” extension name). (...) The exploit connects to a remote server (controlled by the attacker), downloads a file that contains HTML application content, and executes it as an .hta file. Because .hta is executable, the attacker gains full code execution on the victim’s machine. Thus, this is a logical bug, and gives the attackers the power to bypass any memory-based mitigations developed by Microsoft.漏洞扫描器 Nessus 提供了 ID 为 99285 的插件。 该项属于Windows : Microsoft Bulletins家族。 该插件在类型为l的背景下运行。 商业漏洞扫描器Qualys能够使用插件110297 (Microsoft Office and Microsoft Office Services and Web Apps Security Update April 2017)检测此问题。
错误修复程序下载地址为portal.msrc.microsoft.com, 建议修补漏洞以消除此问题。 漏洞披露后 4 日 有可能的缓解措施被公布。 通报中提到如下内容:
Do not open any Office files obtained from untrusted locations. According to our tests, this active attack cannot bypass the Office Protected View, so we suggest everyone ensure that Office Protected View is enabled.
该漏洞也记录在其他漏洞数据库中: SecurityFocus (BID 97498), SecurityTracker (ID 1038224) , Tenable (99285)。
受影响
- Microsoft Office 2007/2010/2013/2016
- Microsoft Wordpad
产品
类型
供应商
名称
版本
许可证
网站
CPE 2.3
CPE 2.2
屏幕截图
影片
CVSSv4
VulDB 向量: 🔍VulDB 可靠性: 🔍
CVSSv3
VulDB 元基础分数: 7.0VulDB 元临时分数: 6.9
VulDB 基本分数: 6.3
VulDB 临时得分: 6.0
VulDB 向量: 🔍
VulDB 可靠性: 🔍
NVD 基本分数: 7.8
NVD 向量: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 向量 | 复杂性 | 身份验证 | 保密 | 完整性 | 可用性 |
|---|---|---|---|---|---|
| 开锁 | 开锁 | 开锁 | 开锁 | 开锁 | 开锁 |
| 开锁 | 开锁 | 开锁 | 开锁 | 开锁 | 开锁 |
| 开锁 | 开锁 | 开锁 | 开锁 | 开锁 | 开锁 |
VulDB 基本分数: 🔍
VulDB 临时得分: 🔍
VulDB 可靠性: 🔍
NVD 基本分数: 🔍
利用
名称: Necurs Dridex分类: 权限提升 / Necurs Dridex
CWE: CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
身体的: 部分
本地: 是
远程: 是
可用性: 🔍
访问: 公共
状态: 被攻击
Wormified: 🔍
可靠性: 🔍
编程语言: 🔍
下载: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV 添加: 🔍
KEV 到什么时候: 🔍
KEV 修正: 🔍
KEV Ransomware: 🔍
KEV 注意: 🔍
价格预测: 🔍
当前价格估算: 🔍
| 0-Day | 开锁 | 开锁 | 开锁 | 开锁 |
|---|---|---|---|---|
| 今天 | 开锁 | 开锁 | 开锁 | 开锁 |
Nessus ID: 99285
Nessus 名称: Windows Server 2012 April 2017 Security Updates (Petya)
Nessus 文件: 🔍
Nessus 风险: 🔍
Nessus 家庭: 🔍
Nessus Context: 🔍
OpenVAS ID: 800218
OpenVAS 名称: Microsoft Windows Monthly Rollup (KB4015551)
OpenVAS 文件: 🔍
OpenVAS 家庭: 🔍
Saint ID: microsoft_word_wordpad_rtf
Saint 名称: Microsoft Word and WordPad RTF HTA handler command execution
Qualys ID: 🔍
Qualys 名称: 🔍
MetaSploit ID: office_word_hta.rb
MetaSploit 名称: Microsoft Office Word Malicious Hta Execution
MetaSploit 文件: 🔍
Exploit-DB: 🔍
Zero-Day.cz: 🔍
威胁情报
利益: 🔍活跃演员: 🔍
活跃的APT团体: 🔍
对策
建议: 补丁状态: 🔍
反应时间: 🔍
0天时间: 🔍
曝光时间: 🔍
利用延迟时间: 🔍
补丁: portal.msrc.microsoft.com
Suricata ID: 2024224
Suricata 分类: 🔍
Suricata 信息: 🔍
时间轴
2016-09-09 🔍2016-10-01 🔍
2017-04-07 🔍
2017-04-07 🔍
2017-04-11 🔍
2017-04-11 🔍
2017-04-11 🔍
2017-04-11 🔍
2017-04-11 🔍
2017-04-12 🔍
2017-04-25 🔍
2017-04-25 🔍
2024-09-09 🔍
来源
供应商: microsoft.com公告: Critical Office Zero-Day Attacks Detected in the Wild
研究人员: Haifei Li (SecuriTeam)
组织: McAfee
状态: 已确认
确认: 🔍
CVE: CVE-2017-0199 (🔍)
GCVE (CVE): GCVE-0-2017-0199
GCVE (VulDB): GCVE-100-99533
OVAL: 🔍
SecurityFocus: 97498 - Microsoft Office OLE Feature Remote Code Execution Vulnerability
SecurityTracker: 1038224
scip Labs: https://www.scip.ch/en/?labs.20161013
其他: 🔍
另见: 🔍
条目
已创建: 2017-04-11 09時31分已更新: 2024-09-09 22時29分
更改: 2017-04-11 09時31分 (124), 2019-10-21 18時16分 (2), 2022-11-28 08時52分 (4), 2024-04-19 07時13分 (22), 2024-07-06 08時25分 (2), 2024-07-24 21時16分 (1), 2024-09-09 22時29分 (2)
完整: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
暂时没有任何评论。 语言: zh + en.
请登录后发表评论。