Remotecodeausführung in Microsoft JET Database Engine

Published on September 22, 2018

Remotecodeausführung in Microsoft JET Database Engine

    Bild
     
    Lucas Leong (Trend Micro), ein Teilnehmer der Zero Day Initiative, enthüllte Details zum Vorliegen einer kritischen Sicherheitsanfälligkeit in Windows, die die Remote-Ausführung von beliebigem Code im Kontext des aktuellen Prozesses ermöglicht. Die erfolgreiche Ausnutzung des Problems erfordert die Teilnahme eines Benutzers, der eine schädliche Datei öffnen oder dem Link folgen muss.

    Die Sicherheitsanfälligkeit wird im DBMS für Microsoft JET Database Engine (DBM) erkannt. Sie stellt die Möglichkeit dar, über den OOB-Schreibpuffer außerhalb des zulässigen Bereichs hinaus zu schreiben, und tritt beim Öffnen einer JET-Datenquelle (Joint Engine Technology) über die OLE DB-Schnittstelle auf.

    Bild

    OLE DB (Object Linking and Embedding, Database, OLEDB) ist eine Gruppe von COM-Schnittstellen, über die Anwendungen auf einheitliche Weise mit Daten aus verschiedenen Quellen und Datenspeichern arbeiten können.

    Um diese Sicherheitsanfälligkeit zu verursachen, muss der Benutzer eine speziell gestaltete Datei öffnen, die Daten enthält, die im DBMS-Format von Microsoft JET Database Engine gespeichert sind. Verschiedene Anwendungen verwenden dieses Datenbankformat. Das Ausnutzen dieser Sicherheitsanfälligkeit kann die Ausführung von Code auf der aktuellen Prozessebene ermöglichen.

    Veröffentlicht auf github von PoCDiese Sicherheitsanfälligkeit betrifft die gesamte Palette moderner Betriebssysteme von Microsoft: Windows 7, Windows 8.1, Windows 10 und Windows Server Edition 2008 bis 2016.

    Eine merkwürdige Tatsache ist, dass die Details der Sicherheitsanfälligkeit Microsoft am 8. Mai, dem 14. Mai, zur Verfügung gestellt wurden Fehler Gemäß der ZDI-Richtlinie wurde nach 120 Tagen Wartezeit (4 Monate) eine Sicherheitsanfälligkeit veröffentlicht. Microsoft bereitet derzeit ein Update vor, das voraussichtlich in den geplanten Oktober-Updates enthalten sein wird.

    Angreifer können diese Sicherheitsanfälligkeit äußerst erfolgreich bei Phishing-Angriffen, bei der Implementierung von APT-Vektoren und bei Wasserlochangriffen ausnutzen. Es wird empfohlen, dass Sie Richtlinien für die Verwendung vertrauenswürdiger Dateien anwenden, bis ein Patch veröffentlicht wird.