Plataforma
windows
Componente
10-strike-lanstate
Corrigido em
8.8.1
A vulnerabilidade CVE-2018-25255 afeta o 10-Strike LANState versão 8.8, apresentando um estouro de buffer local em seu tratamento de exceções estruturadas. Atacantes locais podem explorar essa falha criando arquivos LSM maliciosos com payloads específicos no parâmetro ObjCaption, que ao serem abertos, sobrescrevem a cadeia SEH e executam shellcode. Atualmente, não há um patch oficial disponível para esta vulnerabilidade.
A CVE-2018-25255 afeta o Strike LANState versão 8.8, apresentando uma vulnerabilidade de estouro de buffer local no tratamento de exceções estruturadas (SEH). Um atacante local pode explorar essa falha para executar código arbitrário criando arquivos LSM (LANState Map) maliciosos. O problema reside no parâmetro 'ObjCaption' desses arquivos LSM. Um atacante pode injetar uma carga útil que exceda o tamanho do buffer alocado, sobrescrevendo a cadeia SEH e, finalmente, executando shellcode quando o arquivo LSM comprometido é aberto no aplicativo Strike LANState. A pontuação de severidade CVSS é 8,4, indicando um risco alto. A exploração bem-sucedida requer acesso local ao sistema afetado.
A vulnerabilidade é explorada criando um arquivo LSM malicioso. Este arquivo contém uma carga útil projetada para causar um estouro de buffer no parâmetro 'ObjCaption'. Abrir este arquivo no Strike LANState 8.8 faz com que o estouro de buffer sobrescreva a cadeia SEH (Structured Exception Handling), redirecionando o fluxo de execução para o código controlado pelo atacante (shellcode). A execução bem-sucedida do shellcode permite que o atacante execute comandos arbitrários no sistema com os privilégios do processo Strike LANState. A necessidade de acesso local é uma limitação significativa, mas o impacto potencial é substancial se um atacante já tiver acesso ao sistema.
Organizations and individuals utilizing 10-Strike LANState version 8.8 are at risk. This includes small to medium-sized businesses relying on LANState for network management and security, particularly those with limited security resources and outdated software versions. Systems with weak access controls and those exposed to untrusted LSM files are especially vulnerable.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*LANState*'} | Select-Object ProcessId, CommandLine• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4656)] and EventData[Data[@Name='TargetFileName']='*.lsm']" -MaxEvents 100• windows / supply-chain:
reg query "HKLM\SOFTWARE\10-Strike\LANState" /v Versiondisclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
Atualmente, não há uma correção (fix) oficial fornecida pelo fornecedor para a CVE-2018-25255. A mitigação principal é evitar a abertura de arquivos LSM de fontes não confiáveis. Recomenda-se fortemente atualizar para uma versão posterior do Strike LANState, se disponível. Como medida de segurança adicional, implemente controles de acesso rigorosos para limitar o acesso local ao sistema. Monitorar a atividade do sistema em busca de comportamentos anômalos relacionados à manipulação de arquivos LSM também pode ajudar a detectar e prevenir possíveis ataques. A falta de uma correção oficial torna a prevenção crucial.
Aplique las actualizaciones de seguridad proporcionadas por el proveedor, 10-Strike, para corregir la vulnerabilidad de desbordamiento de búfer. Verifique el sitio web del proveedor para obtener las últimas versiones y parches de seguridad. Evite abrir archivos LSM de fuentes no confiables hasta que se aplique la corrección.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um arquivo LSM (LANState Map) é um arquivo usado pelo Strike LANState para armazenar informações sobre a configuração da rede local.
Se você estiver usando o Strike LANState versão 8.8, você é vulnerável a esta vulnerabilidade.
Não existem ferramentas específicas para detectar arquivos LSM maliciosos relacionados a esta vulnerabilidade. A prevenção é a melhor defesa.
Isole o sistema afetado da rede, realize uma análise forense e considere restaurar a partir de um backup limpo.
Atualmente, não há uma data de lançamento estimada para uma correção. Monitore as fontes oficiais do Strike LANState para obter atualizações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.