プラットフォーム
windows
コンポーネント
river-past-camdo
修正版
3.7.7
CVE-2019-25650 は、River Past CamDo 3.7.6 に存在する構造化例外ハンドラ (SEH) バッファオーバーフローの脆弱性です。 攻撃者は、Lame_enc.dll 名フィールドに悪意のある文字列を供給することで、任意のコードを実行できます。 この脆弱性により、攻撃者はコード実行をトリガーし、ポート 3110 でバインドシェルを確立できます。 影響を受けるバージョンは 3.7.6–3.7.6 です。 修正パッチは提供されていません。
CVE-2019-25650 は River Past CamDo バージョン 3.7.6 に影響を与え、Lame_enc.dll DLL 内の構造化例外ハンドラ (SEH) におけるバッファオーバーフローの脆弱性をもたらします。ローカルの攻撃者は、DLL の名前フィールドに悪意のある文字列を注入することで、この欠陥を利用できます。この攻撃は、NSEH ジャンプ命令と 'pop-pop-ret' ガジェットを指す SEH ハンドラアドレスを含む 280 バイトのペイロードを作成することを含みます。実行が成功すると、攻撃者は影響を受けたシステム上で任意のコードを実行し、ポート 3110 上にリバースシェルを確立する可能性があります。この脆弱性の重大度は高く、リモートコード実行を可能にし、システムの機密性、完全性、および可用性を損なう可能性があります。
この脆弱性は、Lame_enc.dll DLL の名前フィールドを操作することによって悪用されます。システムへのアクセス権を持つローカルの攻撃者は、構造化例外ハンドラ (SEH) を悪用する慎重に設計されたペイロードを作成できます。このペイロードには、NSEH ジャンプ命令が含まれており、実行フローを攻撃者が制御する場所にリダイレクトします。'pop-pop-ret' ガジェットは、スタックを操作して任意のコードを実行するために使用されます。ポート 3110 上のリバースシェルにより、攻撃者は侵害されたシステムをリモートで制御できます。この攻撃の複雑さは、システムアーキテクチャと構造化例外ハンドラの動作に関する深い理解が必要です。
Systems running River Past CamDo version 3.7.6 are directly at risk. Environments where local administrator access is readily available, or where the Lame_enc.dll component is exposed through a network share, are particularly vulnerable. Users who have not implemented robust access controls or security monitoring practices are also at increased risk.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*CamDo*'} | Select-Object -ExpandProperty Id• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath '//Event[System[Provider[@Name='Microsoft-Windows-DriverFrameworks-UserMode']]]'• windows / supply-chain: Check Autoruns for suspicious entries related to Lame_enc.dll. • windows / supply-chain: Monitor registry keys related to River Past CamDo for unexpected modifications.
disclosure
エクスプロイト状況
EPSS
0.02% (4% パーセンタイル)
CISA SSVC
現在、CVE-2019-25650 に対してベンダーから公式のパッチは提供されていません。最も効果的な軽減策は、River Past CamDo のこの脆弱性を修正するバージョンにアップグレードすることです (利用可能な場合)。一時的な措置として、影響を受けたシステムをネットワークから隔離することで、悪用のリスクを軽減できます。厳格なアクセス制御を実装し、システムの活動を侵害の兆候がないか監視することも、リスクを軽減するのに役立ちます。さらに、ユーザーがタスクを実行するために必要な権限のみを持つように、最小権限の原則を適用することをお勧めします。公式の修正プログラムがないことは、ソフトウェアを最新の状態に保ち、積極的なセキュリティ対策を実装することの重要性を強調しています。
より新しいバージョンにアップデートするか、River Past CamDo 3.7.6 ソフトウェアをアンインストールしてください。修正されたバージョンは利用できないため、アンインストールが最も安全なオプションです。
脆弱性分析と重要アラートをメールでお届けします。
元の記述形式では、この脆弱性はシステムへのローカルアクセスが必要です。ただし、攻撃者が別のベクトルを通じてローカルアクセスを取得できる場合、この脆弱性を悪用できます。
システムをネットワークから隔離し、厳格なアクセス制御を実装し、システムの活動を侵害の兆候がないか監視します。
広く利用可能な公開攻撃は報告されていませんが、この脆弱性の性質から、開発される可能性があります。
これは、実行されるとスタックから 2 つの値が 'pop' され、次にリターンされるメモリ内の命令シーケンスです。これにより、攻撃者は実行フローを制御できます。
これは、Windows で例外とエラーを処理するために使用されるメカニズムです。この場合、実行フローをリダイレクトするために悪用されます。
CVSS ベクトル