Microsoft .NET Framework における WSDL パーサでの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2021.01.18(月)

Microsoft .NET Framework における WSDL パーサでの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

Microsoft .NET Framework に遠隔から任意のコードが実行可能となる脆弱性が報告されています。当該脆弱性を悪用する悪意のあるファイルを開いてしまった場合、遠隔から任意のコードを実行され、攻撃者に端末の制御を奪われてしまう可能性があります。

脆弱性と脅威 エクスプロイト
◆概要

Microsoft .NET Framework に遠隔から任意のコードが実行可能となる脆弱性が報告されています。当該脆弱性を悪用する悪意のあるファイルを開いてしまった場合、遠隔から任意のコードを実行され、攻撃者に端末の制御を奪われてしまう可能性があります。セキュリティ更新プログラムの適用により対策してください。

◆分析者コメント

クライアントサイドの脆弱性であるため、悪用するには前提条件が厳しい脆弱性ではありますが、攻撃者グループのキャンペーン活動に悪用される可能性が高い脆弱性であると考えられます。覚えがないメールの添付ファイルを開かないことを心がけるといった日頃の対策はもちろんですが、悪意のあるファイルを開いてしまった場合の危険性を考慮して、セキュリティ更新プログラムの適用により対策することを推奨します。

◆深刻度(CVSS)

[CVSS v2]
9.3
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2017-8759&vector=(AV:N/AC:M/Au:N/C:C/I:C/A:C)

[CVSS v3]
7.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2017-8759&vector=AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H


◆影響を受けるソフトウェア

以下のバージョンの Microsoft .NET Framework が影響を受けると報告されています。

    - Microsoft .NET Framework 2.0 SP2
    - Microsoft .NET Framework 3.5
    - Microsoft .NET Framework 3.5.1
    - Microsoft .NET Framework 4.5.2
    - Microsoft .NET Framework 4.6
    - Microsoft .NET Framework 4.6.1
    - Microsoft .NET Framework 4.6.2
    - Microsoft .NET Framework 4.7


◆解説

Microsoft Windows にて、アプリケーションの開発や実行に用いられる .NET Framework にて、遠隔から任意のコードの実行を強制されてしまう脆弱性が報告されています。

《株式会社ラック デジタルペンテストサービス部》

関連記事

PageTop

特集

アクセスランキング

  1. 世界ではじめて脆弱性診断士資格「セキュリスト(SecuriST)」を作った三人の男

    世界ではじめて脆弱性診断士資格「セキュリスト(SecuriST)」を作った三人の男PR

  2. カプコンへのランサムウェア攻撃、新たに16,406人の情報流出を確認

    カプコンへのランサムウェア攻撃、新たに16,406人の情報流出を確認

  3. kintoneに連携「kMailer」で不具合、送信ログとして別顧客の情報が流出

    kintoneに連携「kMailer」で不具合、送信ログとして別顧客の情報が流出

  4. 東京海上日動と連携、Microsoft Azureの障害やサイバー攻撃を補償

    東京海上日動と連携、Microsoft Azureの障害やサイバー攻撃を補償

  5. マイクロソフトが1月のセキュリティ情報を公開、一部脆弱性については悪用の事実を確認済み

    マイクロソフトが1月のセキュリティ情報を公開、一部脆弱性については悪用の事実を確認済み

  6. IDC予測、2024年までのセキュリティ製品サービス市場規模

    IDC予測、2024年までのセキュリティ製品サービス市場規模

  7. #NoMoreFake 第3回「ファクトチェック」

    #NoMoreFake 第3回「ファクトチェック」

  8. 神奈川県と富士通リースがHDD盗難のクリスマス和解 ~ 賠償 4,097 万円 再発防止策差し引き和解金 2,369 万円で合意

    神奈川県と富士通リースがHDD盗難のクリスマス和解 ~ 賠償 4,097 万円 再発防止策差し引き和解金 2,369 万円で合意

  9. 一体どうバランスを取るか?  高度なサイバー攻撃対策 & 日々のセキュリティ運用

    一体どうバランスを取るか? 高度なサイバー攻撃対策 & 日々のセキュリティ運用PR

  10. ソフトバンク元社員 不正競争防止法違反容疑で逮捕、楽天モバイルに技術情報持ち出し疑い

    ソフトバンク元社員 不正競争防止法違反容疑で逮捕、楽天モバイルに技術情報持ち出し疑い

ランキングをもっと見る