Microsoft File Checksum Integrity Verifier 2.05 DLL Loader fciv.exe elévation de privilèges

CVSS Score de méta-température	Exploit Prix Actuel (≈)	Score d'intérêt CTI
4.6	$0-$5k	0.00

Une vulnérabilité classée critique a été trouvée dans Microsoft File Checksum Integrity Verifier 2.05. Affecté par ce problème est une fonction inconnue du fichier fciv.exe du composant DLL Loader. La manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe elévation de privilèges.

La vulnerabilité a été publié en 04/07/2019 par John Page (hyp3rlinx) avec bulletin (Website) (non défini). La notice d'information est disponible en téléchargement sur hyp3rlinx.altervista.org L'attaque nécéssite une approche locale. Une exploitation réussie requiert une seule session d'authentification. Des details techniques et un publique exploit sont connus.

L'exploit est disponible au téléchargment sur hyp3rlinx.altervista.org. Il est déclaré comme proof-of-concept. Cette vulnérabilité a été classée comme 0-day non publique pendant au moins 31 jours. Le code utilisé par l'exploit est:

"evil.c"

#include <windows.h>
//gcc -shared -o cryptsp.dll evil.c

void evilo(void){
WinExec("calc", 0);
}

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved){
evilo();
return 0;
}

Il n'y a aucune information à propos de possibles contremesures connues. Il est suggéré de remplacer l'object infecté par un produit alternatif.

Produitinfo

Fournisseur

Microsoft

Nom

File Checksum Integrity Verifier

Version

2.05

Licence

commercial

CPE 2.3info

🔍

CPE 2.2info

🔍

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍

CVSSv3info

VulDB Score méta-base: 5.3
VulDB Score de méta-température: 4.6

VulDB Note de base: 5.3
VulDB Note temporaire: 4.6
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vecteur	Complexité	Authentification	Confidentialité	Intégrité	Disponibilité
ouvrir	ouvrir	ouvrir	ouvrir	ouvrir	ouvrir
ouvrir	ouvrir	ouvrir	ouvrir	ouvrir	ouvrir
ouvrir	ouvrir	ouvrir	ouvrir	ouvrir	ouvrir

VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍

Exploitinginfo

Classe: Elévation de privilèges
CWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Localement: Oui
Remote: Non

Disponibilité: 🔍
Accéder: Publique
Statut: Proof-of-Concept
Télécharger: 🔍
Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍

0-Day	ouvrir	ouvrir	ouvrir	ouvrir
Aujourd'hui	ouvrir	ouvrir	ouvrir	ouvrir

Renseignements sur les menacesinfo

Intérêt: 🔍
Acteurs actifs: 🔍
Groupes APT actifs: 🔍

Contre-mesuresinfo

Recommandé: aucune mesure d'atténuation connue
Statut: 🔍

Heure 0 jour: 🔍

Chronologieinfo

03/06/2019 🔍
07/06/2019 +4 jours 🔍
04/07/2019 +27 jours 🔍
21/07/2019 +17 jours 🔍
10/07/2020 +355 jours 🔍

Sourcesinfo

Fournisseur: microsoft.com

Bulletin: hyp3rlinx.altervista.org
Chercheur: John Page (hyp3rlinx)
Statut: Non défini
scip Labs: https://www.scip.ch/en/?labs.20161013

Entréeinfo

Établi: 21/07/2019 10:37
Mise à jour: 10/07/2020 10:13
Changements: 21/07/2019 10:37 (47), 10/07/2020 10:13 (1)
Compléter: 🔍
Auteur: hyp3rlinx
Cache ID: 79:154:103

Submitinfo

Accepté

Submit #75: Microsoft File Checksum Integrity Verifier "fciv.exe" v2.05 Trojan File Arbitrary Code Execution (par hyp3rlinx)

Discussion

Aucun commentaire pour l'instant. Langues: fr + en.

Veuillez vous connecter pour commenter.

◂ Précédent Aperçu Suivant ▸

Do you need the next level of professionalism?

Upgrade your account now!