Plataforma
windows
Componente
river-past-camdo
Corrigido em
3.7.7
A vulnerabilidade CVE-2019-25650 é um Buffer Overflow do tipo SEH (Structured Exception Handler) presente no River Past CamDo versão 3.7.6. Um atacante local pode explorar essa falha para executar código arbitrário no sistema, fornecendo uma string maliciosa no campo nome do arquivo Lame_enc.dll. A versão 3.7.6 do River Past CamDo é vulnerável. Não há patch oficial disponível para corrigir esta vulnerabilidade.
A vulnerabilidade CVE-2019-25650 afeta o River Past CamDo versão 3.7.6, apresentando um estouro de buffer no Manipulador de Exceções Estruturadas (SEH) dentro da DLL Lame_enc.dll. Um atacante local pode explorar essa falha injetando uma string maliciosa no campo do nome da DLL. A exploração envolve a criação de uma carga útil de 280 bytes que inclui uma instrução de salto NSEH e um endereço de manipulador SEH apontando para um gadget 'pop-pop-ret'. A execução bem-sucedida permite que o atacante execute código arbitrário no sistema afetado, potencialmente estabelecendo uma shell reversa na porta 3110. A gravidade desta vulnerabilidade é alta, pois permite a execução remota de código, comprometendo a confidencialidade, integridade e disponibilidade do sistema.
A vulnerabilidade é explorada manipulando o campo do nome da DLL Lame_enc.dll. Um atacante local com acesso ao sistema pode criar uma carga útil cuidadosamente projetada que aproveita o Manipulador de Exceções Estruturadas (SEH). Esta carga útil inclui uma instrução de salto NSEH que redireciona o fluxo de execução para uma localização controlada pelo atacante. O gadget 'pop-pop-ret' é usado para manipular a pilha e executar código arbitrário. A shell reversa na porta 3110 permite que o atacante controle remotamente o sistema comprometido. A complexidade da exploração requer um profundo conhecimento da arquitetura do sistema e do funcionamento do Manipulador de Exceções Estruturadas.
Systems running River Past CamDo version 3.7.6 are directly at risk. Environments where local administrator access is readily available, or where the Lame_enc.dll component is exposed through a network share, are particularly vulnerable. Users who have not implemented robust access controls or security monitoring practices are also at increased risk.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*CamDo*'} | Select-Object -ExpandProperty Id• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath '//Event[System[Provider[@Name='Microsoft-Windows-DriverFrameworks-UserMode']]]'• windows / supply-chain: Check Autoruns for suspicious entries related to Lame_enc.dll. • windows / supply-chain: Monitor registry keys related to River Past CamDo for unexpected modifications.
disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
Atualmente, não existe um patch oficial fornecido pelo fornecedor para CVE-2019-25650. A mitigação mais eficaz é atualizar para uma versão do River Past CamDo que corrija esta vulnerabilidade, se estiver disponível. Como medida temporária, isolar os sistemas afetados da rede pode limitar o risco de exploração. Implementar controles de acesso rigorosos e monitorar a atividade do sistema em busca de sinais de comprometimento também pode ajudar a reduzir o risco. Além disso, recomenda-se aplicar o princípio do menor privilégio, garantindo que os usuários tenham apenas as permissões necessárias para realizar suas tarefas. A falta de uma correção oficial sublinha a importância de manter o software atualizado e de implementar práticas de segurança proativas.
Actualizar a una versión posterior a la 3.7.6 o desinstalar el software River Past CamDo. No hay una versión corregida disponible, por lo que la desinstalación es la opción más segura.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Em sua forma originalmente descrita, a vulnerabilidade requer acesso local ao sistema. No entanto, se um atacante puder obter acesso local por meio de outro vetor, esta vulnerabilidade pode ser explorada.
Isole o sistema da rede, implemente controles de acesso rigorosos e monitore a atividade do sistema em busca de sinais de comprometimento.
Embora não tenham sido relatados exploits públicos amplamente disponíveis, a natureza da vulnerabilidade sugere que eles poderiam ser desenvolvidos.
É uma sequência de instruções na memória que, quando executada, 'pop's dois valores da pilha e, em seguida, retorna, permitindo que o atacante controle o fluxo de execução.
É um mecanismo no Windows usado para lidar com exceções e erros. Neste caso, é explorado para desviar o fluxo de execução.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.