8.1 CVE-2017-0144

Exploit Privilege Escalation RCE Injection SQL Buffer Overflow RCI XSS Patch Used by Malware Used by Ransomware CISA Kev Catalog Used by Malware
  

El servidor SMBv1 en Microsoft Windows Vista SP2; Windows Server 2008 SP2 y R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1; y Windows 10 Gold, 1511 y 1607; y Windows Server 2016 permite a los atacantes remotos ejecutar código arbitrario a través de paquetes diseñados, también conocidos como "Vulnerabilidad de ejecución remota de código SMB de Windows". Esta vulnerabilidad es diferente de las descritas en CVE-2017-0143, CVE-2017-0145, CVE-2017-0146 y CVE-2017-0148.
https://nvd.nist.gov/vuln/detail/CVE-2017-0144

Categorías

CWE-20 : Validación inadecuada de las entradas

Referencias


 

CPE

cpe iniciar fin
Configuration 1
   cpe:2.3:a:microsoft:server_message_block:1.0:*:*:*:*:*:*:*
  Running on/with
  cpe:2.3:o:microsoft:windows_10:*:*:*:*:*:*:*:*
  cpe:2.3:o:microsoft:windows_10:1511:*:*:*:*:*:*:*
  cpe:2.3:o:microsoft:windows_10:1607:*:*:*:*:*:*:*
  cpe:2.3:o:microsoft:windows_7:-:sp1:*:*:*:*:*:*
  cpe:2.3:o:microsoft:windows_8.1:*:*:*:*:*:*:*:*
  cpe:2.3:o:microsoft:windows_rt_8.1:-:*:*:*:*:*:*:*
  cpe:2.3:o:microsoft:windows_server_2008:-:sp2:*:*:*:*:*:*
  cpe:2.3:o:microsoft:windows_server_2008:r2:sp1:*:*:*:*:*:*
  cpe:2.3:o:microsoft:windows_server_2012:-:gold:*:*:*:*:*:*
  cpe:2.3:o:microsoft:windows_server_2012:r2:*:*:*:*:*:*:*
  cpe:2.3:o:microsoft:windows_server_2016:-:*:*:*:*:*:*:*
  cpe:2.3:o:microsoft:windows_vista:-:sp2:*:*:*:*:*:*


REMEDIACIÓN


Microsoft

Producto Artículo Descargar
Windows 10 Version 1511 for 32-bit Systems 4013198 Security Update
Windows 10 Version 1511 for x64-based Systems 4013198 Security Update
Windows 10 Version 1607 for 32-bit Systems 4013429 Security Update
Windows 10 Version 1607 for x64-based Systems 4013429 Security Update
Windows 10 for 32-bit Systems 4012606 Security Update
Windows 10 for x64-based Systems 4012606 Security Update
Windows 7 for 32-bit Systems Service Pack 1 4012215 Monthly Rollup
Windows 7 for 32-bit Systems Service Pack 1 4012212 Security Only
Windows 7 for x64-based Systems Service Pack 1 4012215 Monthly Rollup
Windows 7 for x64-based Systems Service Pack 1 4012212 Security Only
Windows 8.1 for 32-bit systems 4012216 Monthly Rollup
Windows 8.1 for 32-bit systems 4012213 Security Only
Windows 8.1 for x64-based systems 4012216 Monthly Rollup
Windows 8.1 for x64-based systems 4012213 Security Only
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 4012215 Monthly Rollup
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 4012212 Security Only
Windows Server 2008 R2 for x64-based Systems Service Pack 1 4012215 Monthly Rollup
Windows Server 2008 R2 for x64-based Systems Service Pack 1 4012212 Security Only
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) 4012215 Monthly Rollup
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) 4012212 Security Only
Windows Server 2008 for 32-bit Systems Service Pack 2 4012598 Security Update
Windows Server 2008 for Itanium-Based Systems Service Pack 2 4012598 Security Update
Windows Server 2008 for x64-based Systems Service Pack 2 4012598 Security Update
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) 4012598 Security Update
Windows Server 2012 4012217 Monthly Rollup
Windows Server 2012 4012214 Security Only
Windows Server 2012 (Server Core installation) 4012217 Monthly Rollup
Windows Server 2012 (Server Core installation) 4012214 Security Only
Windows Server 2012 R2 4012216 Monthly Rollup
Windows Server 2012 R2 4012213 Security Only
Windows Server 2012 R2 (Server Core installation) 4012216 Monthly Rollup
Windows Server 2012 R2 (Server Core installation) 4012213 Security Only
Windows Server 2016 4013429 Security Update
Windows Server 2016 (Server Core installation) 4013429 Security Update
Windows Vista Service Pack 2 4012598 Security Update
Windows Vista x64 Edition Service Pack 2 4012598 Security Update


EXPLOTA


Exploit-db.com

id descripción fecha
42315 Microsoft Windows 7 / 8.1 / 2008 R2 / 2012 R2 / 2016 R2 - Ejecución remota de código SMB 'EternalBlue' (MS17-010) 2017-07-11 00:00:00
42031 Microsoft Windows 7/2008 R2 - Ejecución remota de código SMB 'EternalBlue' (MS17-010) 2017-05-17 00:00:00
42030 Microsoft Windows 8 / 8.1 / 2012 R2 (x64) - Ejecución remota de código SMB 'EternalBlue' (MS17-010) 2017-05-17 00:00:00
41987 Microsoft Windows Server 2008 R2 (x64) - Ejecución remota de código SMB 'SrvOs2FeaToNt' (MS17-010) 2017-05-10 00:00:00
41891 Microsoft Windows - Escáner de ejecución remota de código SMB (MS17-010) (Metasploit) 2017-04-17 00:00:00
47456 DOUBLEPULSAR - Ejecución y neutralización de la carga útil (Metasploit) 2019-10-02 00:00:00

Otros (github, ...)

Url
No hay exploits conocidos


CAPEC


Common Attack Pattern Enumerations and Classifications

id descripción gravedad
10 Desbordamiento de búfer a través de variables de entorno
Alto
101 Inyección del lado del servidor (SSI)
Alto
104 Cross Zone Scripting
Alto
108 Ejecución de línea de comandos a través de inyección SQL
Muy alto
109 Inyección de mapeo relacional de objetos
Alto
110 Inyección SQL a través de la manipulación de parámetros SOAP
Muy alto
120 Doble codificación
Medio
13 Subvertir los valores de las variables de entorno
Muy alto
135 Inyección de cadena de formato
Alto
136 Inyección LDAP
Alto
14 Desbordamiento de búfer inducido por inyección en el lado del cliente
Alto
153 Manipulación de datos de entrada
Medio
182 Inyección de Flash
Medio
209 XSS Using MIME Type Mismatch
Medio
22 Explotación de la confianza en el cliente
Alto
23 Inyección de contenido de archivos
Muy alto
230 Datos serializados con cargas útiles anidadas
Alto
231 Cargas de datos serializadas de gran tamaño
Alto
24 Fallo del filtro por desbordamiento del búfer
Alto
250
261 Fuzzing para obtener otros datos adyacentes del usuario/sensible
Medio
267 Aprovechar la codificación alternativa
Alto
28 Fuzzing
Medio
3 Uso de secuencias de caracteres "fantasma" para eludir los filtros de entrada
Medio
31 Acceder/interceptar/modificar las cookies HTTP
Alto
42 Conversión MIME
Alto
43 Explotación de múltiples capas de interpretación de la entrada
Alto
45 Desbordamiento del búfer mediante enlaces simbólicos
Alto
46 Variables y etiquetas de desbordamiento
Alto
47 Desbordamiento de búfer mediante expansión de parámetros
Alto
473 Signature Spoof
52 Incrustación de bytes nulos
Alto
53 Postfix, Null Terminate y Backslash
Alto
588 DOM-Based XSS
Muy alto
63 Cross-Site Scripting (XSS)
Muy alto
64 Uso combinado de barras y codificación de URL para eludir la lógica de validación
Alto
664 Falsificación de solicitudes del lado del servidor
Alto
67 String Format Overflow in syslog()
Muy alto
7 Inyección SQL ciega
Alto
71 Uso de la codificación Unicode para eludir la lógica de validación
Alto
72 Codificación de la URL
Alto
73 User-Controlled Filename
Alto
78 Uso de barras diagonales escapadas en la codificación alternativa
Alto
79 Uso de barras inclinadas en la codificación alternativa
Alto
8 Desbordamiento de búfer en una llamada a la API
Alto
80 Uso de la codificación UTF-8 para eludir la lógica de validación
Alto
81
Alto
83 Inyección XPath
Alto
85 Huella AJAX
Bajo
88 Inyección de comandos del sistema operativo
Alto
9 Desbordamiento del búfer en las utilidades locales de línea de comandos
Alto


MITRE


Técnicas

id descripción
T1027 Archivos o información ofuscados
T1036.001 Enmascaramiento: Firma de código no válida
T1539 Robo de cookies de sesión web
T1553.002 Subvertir los controles de confianza: firma de código
T1562.003 Impedir defensas:Impedir el registro del historial de comandos
T1574.006 Secuestro del flujo de ejecución: Secuestro del enlazador dinámico
T1574.007 Flujo de ejecución de secuestros: interceptación de rutas mediante la variable de entorno PATH
© 2022 The MITRE Corporation. Esta obra se reproduce y distribuye con el permiso de The MITRE Corporation.

Mitigación

id descripción
T1027 En Windows 10, active las reglas de reducción de la superficie de ataque (ASR) para evitar la ejecución de cargas útiles potencialmente ofuscadas.
T1036.001 Requiere binarios firmados.
T1539 Forme a los usuarios para que identifiquen los aspectos de los intentos de phishing en los que se les pide que introduzcan credenciales en un sitio que tiene un dominio incorrecto para la aplicación en la que están iniciando sesión.
T1562.003 Asegúrese de que la variable de entorno <code>HISTCONTROL</code> está configurada como "ignoredups" en lugar de "ignoreboth" o "ignorespace".
T1574.006 Cuando la protección de integridad del sistema (SIP) está activada en macOS, las variables de entorno antes mencionadas se ignoran al ejecutar binarios protegidos. Las aplicaciones de terceros también pueden aprovechar el Hardened Runtime de Apple, asegurando que estas variables de entorno están sujetas a las restricciones impuestas. Los administradores pueden añadir restricciones a las aplicaciones configurando los bits setuid y/o setgid, utilizar derechos o tener un segmento __RESTRICT en el binario de macOS.
T1574.007
© 2022 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.