Plateforme
windows
Composant
river-past-camdo
Corrigé dans
3.7.7
La vulnérabilité CVE-2019-25650, de type buffer overflow, affecte River Past CamDo version 3.7.6. Elle permet l'exécution de code arbitraire. L'exploitation de cette faille peut mener à un contrôle total du système. Actuellement, aucune mise à jour officielle n'est disponible pour corriger cette vulnérabilité.
La vulnérabilité CVE-2019-25650 affecte River Past CamDo version 3.7.6, présentant un débordement de tampon dans le gestionnaire d'exceptions structurées (SEH) au sein de la DLL Lame_enc.dll. Un attaquant local peut exploiter cette faille en injectant une chaîne malveillante dans le champ du nom de la DLL. L'exploitation implique la création d'une charge utile de 280 octets incluant une instruction de saut NSEH et une adresse de gestionnaire SEH pointant vers un gadget 'pop-pop-ret'. Une exécution réussie permet à l'attaquant d'exécuter du code arbitraire sur le système affecté, établissant potentiellement une shell inverse sur le port 3110. La gravité de cette vulnérabilité est élevée, permettant l'exécution de code à distance et compromettant la confidentialité, l'intégrité et la disponibilité du système.
La vulnérabilité est exploitée en manipulant le champ du nom de la DLL Lame_enc.dll. Un attaquant local disposant d'un accès au système peut créer une charge utile soigneusement conçue qui exploite le Gestionnaire d'Exceptions Structurées (SEH). Cette charge utile inclut une instruction de saut NSEH qui redirige le flux d'exécution vers un emplacement contrôlé par l'attaquant. Le gadget 'pop-pop-ret' est utilisé pour manipuler la pile et exécuter du code arbitraire. La shell inverse sur le port 3110 permet à l'attaquant de contrôler à distance le système compromis. La complexité de l'exploitation nécessite une connaissance approfondie de l'architecture du système et du fonctionnement du Gestionnaire d'Exceptions Structurées.
Systems running River Past CamDo version 3.7.6 are directly at risk. Environments where local administrator access is readily available, or where the Lame_enc.dll component is exposed through a network share, are particularly vulnerable. Users who have not implemented robust access controls or security monitoring practices are also at increased risk.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*CamDo*'} | Select-Object -ExpandProperty Id• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath '//Event[System[Provider[@Name='Microsoft-Windows-DriverFrameworks-UserMode']]]'• windows / supply-chain: Check Autoruns for suspicious entries related to Lame_enc.dll. • windows / supply-chain: Monitor registry keys related to River Past CamDo for unexpected modifications.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
Actuellement, il n'existe pas de correctif officiel fourni par le fournisseur pour CVE-2019-25650. L'atténuation la plus efficace consiste à mettre à niveau vers une version de River Past CamDo qui corrige cette vulnérabilité, si une telle version est disponible. En tant que mesure temporaire, l'isolement des systèmes affectés du réseau peut limiter le risque d'exploitation. La mise en œuvre de contrôles d'accès stricts et la surveillance de l'activité du système à la recherche de signes de compromission peuvent également aider à réduire le risque. De plus, il est recommandé d'appliquer le principe du moindre privilège, en veillant à ce que les utilisateurs n'aient que les autorisations nécessaires pour effectuer leurs tâches. L'absence de correctif officiel souligne l'importance de maintenir les logiciels à jour et de mettre en œuvre des pratiques de sécurité proactives.
Mettre à jour vers une version ultérieure ou désinstaller le logiciel River Past CamDo 3.7.6. Il n'y a pas de version corrigée disponible, donc la désinstallation est l'option la plus sûre.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Dans sa forme originale décrite, la vulnérabilité nécessite un accès local au système. Cependant, si un attaquant peut obtenir un accès local par un autre vecteur, cette vulnérabilité peut être exploitée.
Isolez le système du réseau, mettez en œuvre des contrôles d'accès stricts et surveillez l'activité du système à la recherche de signes de compromission.
Bien qu'aucune exploitation publique largement disponible n'ait été signalée, la nature de la vulnérabilité suggère qu'elles pourraient être développées.
Il s'agit d'une séquence d'instructions en mémoire qui, lorsqu'elle est exécutée, 'pop' deux valeurs de la pile puis retourne, permettant à l'attaquant de contrôler le flux d'exécution.
C'est un mécanisme dans Windows utilisé pour gérer les exceptions et les erreurs. Dans ce cas, il est exploité pour dévier le flux d'exécution.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.