CVE-2010-3333 — Microsoft Office RTF Stack Buffer Overflow (MS10‑087) - Security Bez Tabu

CVE-2010-3333 — Microsoft Office RTF Stack Buffer Overflow (MS10‑087)

TL;DR

CVE‑2010‑3333 to luka typu stack‑based buffer overflow w parserze RTF pakietu Microsoft Office. Otworzenie lub nawet podgląd (Outlook używający Worda jako czytnika) specjalnie spreparowanego RTF może prowadzić do zdalnego wykonania kodu z uprawnieniami użytkownika. Luka była aktywnie wykorzystywana (znajduje się w CISA KEV) i często dostarczana jako załącznik e‑mail (ATT&CK T1566.001), a samo wykonanie to T1203. Kluczowe sygnały: WINWORD.EXE otwiera plik .rtf i uruchamia proces potomny (np. cmd.exe, powershell.exe). Patch: biuletyn MS10‑087.

Krótka definicja techniczna

CVE‑2010‑3333 opisuje błąd przepełnienia stosu w składniku obsługi RTF Microsoft Office (m.in. Word), umożliwiający uruchomienie dowolnego kodu po przetworzeniu złośliwego RTF. Mechanizm bywał wywoływany m.in. przez właściwość pFragments w obiektach RTF (Office Art/Shape), co skutkuje korupcją pamięci i przejęciem przepływu sterowania.

Gdzie występuje / przykłady platform

  • Windows (Office XP/2003/2007/2010) – zagrożone wersje przed MS10‑087, często wektor: e‑mail/załącznik RTF.
  • macOS (Office 2004/2008/2011; Open XML File Format Converter) – również podatne, aktualizacje w ramach MS10‑087/KB.
  • M365/Exchange Online/Outlook – tor dostarczenia (skanowanie i telemetryka: EmailEvents, EmailAttachmentInfo).

Szczegółowy opis techniki (jak działa, cele, dlaczego jest skuteczna)

Luka polega na błędzie zapisu poza granice bufora (CWE‑787) w kodzie analizującym dane RTF. Wystarczy, aby ofiara otworzyła lub podejrzała wiadomość/plik RTF – w konfiguracjach z Wordem jako czytnikiem w Outlook 2007/2010 samo „Preview Pane” może wyzwolić exploit. Po udanym przepełnieniu stosu atakujący uzyskuje wykonanie kodu w kontekście użytkownika. Praktycznie wszystkie ówczesne edycje Office dla Windows i macOS były podatne przed łatą MS10‑087. Skuteczność wynika z: popularności RTF/Office, niskiej świadomości ryzyka „podglądu”, oraz łatwości dostarczenia przez e‑mail (T1566.001).

Wykorzystanie w kampaniach: technika T1203 jest powszechnie nadużywana; MITRE wskazuje grupy (np. Aoqin Dragon, Transparent Tribe), które historycznie korzystały m.in. z CVE‑2010‑3333.

Artefakty i logi (co zbierać)

WarstwaŹródło/logCo obserwowaćIdentyfikator / polaUwagi
Endpoint (Windows)SysmonProcesy potomne WINWORD.EXEcmd.exe, powershell.exe, wscript.exe, mshta.exe, rundll32.exe, regsvr32.exeEID 1 (Process creation), ParentImage, CommandLinePodstawowy sygnał wykonania po eksploatacji.
Endpoint (Windows)SecurityTworzenie procesu4688Alternatywa dla Sysmon.
Endpoint (Windows)SysmonPołączenia sieciowe procesu potomnegoEID 3Eksfiltracja/ładowanie 2. etapu.
AplikacjeAplikation ErrorAwaria WINWORD.EXE po otwarciu RTFEID 1000Czasem skutek nieudanego exploitu.
Poczta M365Defender XDR – EmailEventsDostarczenie załącznika .rtf, verdict (Malware/Phish), NetworkMessageIdTabela EmailEventsKorelować z host‑telemetry (czas/odbiorca).
Poczta M365EmailAttachmentInfoFileType/AttachmentExtension = rtfTabela EmailAttachmentInfoRozszerzenie + wielkość, nadawca.
Poczta M365EmailPostDeliveryEventsAkcje ZAP (usunięcie, przeniesienie)ActionType (np. ZAP)Przydatne do potwierdzenia mitigacji.
CloudAWS CloudTrail (Data Events)(opcjonalnie) pobranie złośliwego RTF z S3s3:GetObject (włączone Data Events)Tylko jeśli wektor to link do pliku w S3; nie jest typowy dla tej CVE.

Uwaga: CVE‑2010‑3333 znajduje się w katalogu CISA Known Exploited Vulnerabilities – podnosi to priorytet reagowania.

Detekcja (praktyczne reguły)

Sigma (Windows / Process Creation)

title: Office Child Process — Possible RTF Exploit (CVE-2010-3333)
id: 6d5e3c3a-6c8a-4a3c-9a0b-rtf3333
status: experimental
description: Wykrywa podejrzane procesy potomne uruchamiane przez WINWORD.EXE po otwarciu pliku RTF (T1203, T1566.001).
references:
  - https://detection.fyi/sigmahq/sigma/windows/process_creation/proc_creation_win_office_susp_child_processes/
logsource:
  category: process_creation
  product: windows
detection:
  selection_parent:
    ParentImage|endswith:
      - '\WINWORD.EXE'
  selection_child:
    Image|endswith:
      - '\cmd.exe'
      - '\powershell.exe'
      - '\wscript.exe'
      - '\cscript.exe'
      - '\mshta.exe'
      - '\rundll32.exe'
      - '\regsvr32.exe'
  condition: selection_parent and selection_child
falsepositives:
  - Zdarzenia OLE/Packager (np. osadzenie obrazu uruchamia MSPAINT)
  - Skrypty administracyjne uruchamiane celowo z dokumentów (rzadkie)
level: high
tags:
  - attack.t1203
  - attack.t1566.001

Źródło wzorca: repozytorium Sigma/„Suspicious Microsoft Office Child Process”.

Splunk (SPL)

index=win* (source="WinEventLog:Microsoft-Windows-Sysmon/Operational" OR EventCode=4688)
| eval ParentImage=coalesce(ParentImage,Process_Parent_Image)
| search ParentImage="*\\WINWORD.EXE"
| eval Image=coalesce(Image,New_Process_Name)
| where like(Image,"%\\cmd.exe") OR like(Image,"%\\powershell.exe") OR like(Image,"%\\wscript.exe") OR like(Image,"%\\mshta.exe") OR like(Image,"%\\rundll32.exe") OR like(Image,"%\\regsvr32.exe")
| stats values(CommandLine) values(ParentCommandLine) count by _time host User Image ParentImage

Kontekst i dobre praktyki pracy na Sysmon EID 1 w Splunk.

Microsoft 365 Defender / Sentinel (KQL – Advanced Hunting)

// 1) Procesy potomne Worda związane z exploitami/LOLBinami
DeviceProcessEvents
| where Timestamp > ago(7d)
| where InitiatingProcessFileName =~ "WINWORD.EXE"
| where FileName in~ ("cmd.exe","powershell.exe","wscript.exe","cscript.exe","mshta.exe","rundll32.exe","regsvr32.exe")
| project Timestamp, DeviceName, AccountName, FileName, ProcessCommandLine, InitiatingProcessCommandLine, InitiatingProcessSHA1

// 2) Korelacja z mailem i załącznikiem RTF (ta sama ofiara ~ +/- 2h)
| join kind=leftouter (
    EmailAttachmentInfo
    | where Timestamp > ago(7d)
    | where AttachmentExtension =~ "rtf"
    | project RecipientEmailAddress, NetworkMessageId, AttachmentFileName, Timestamp
) on $left.AccountUpn == $right.RecipientEmailAddress

Dokumentacja tabel EmailEvents/EmailAttachmentInfo/EmailPostDeliveryEvents.

CloudTrail query (opcjonalnie – gdy RTF hostowany w S3)

# wymagane włączone Data Events dla S3
aws cloudtrail lookup-events \
  --lookup-attributes AttributeKey=EventName,AttributeValue=GetObject \
  --start-time 2025-11-01T00:00:00Z --end-time 2025-11-04T23:59:59Z \
  --query 'Events[?contains(CloudTrailEvent, `.rtf`)].[EventTime,Username,Resources]'

Użyteczne tylko, gdy kampania używała linku do RTF w S3 (nie typowy wektor tej CVE).

Elastic / EQL

process where
  process.name in ("cmd.exe","powershell.exe","wscript.exe","cscript.exe","mshta.exe","rundll32.exe","regsvr32.exe") and
  parent.process.name == "WINWORD.EXE"

Predefiniowana reguła „Suspicious MS Office Child Process” (Elastic).

Heurystyki / korelacje

  • Word → LOLBin: drzewo procesu WINWORD.EXE → „living‑off‑the‑land” (rundll32, regsvr32, mshta) w 0–5 min od otwarcia .rtf.
  • Mail → Host: EmailEvents.NetworkMessageId (M365) skorelowany z aktywnością użytkownika na stacji (ten sam odbiorca/UPN).
  • Preview pane: zdarzenie może wystąpić bez eksplicytnego „Open”, gdy włączony podgląd wiadomości RTF w Outlook (Word jako czytnik).
  • Awaria Worda (EID 1000) tuż po otwarciu RTF – ślad nieudanego exploitu.
  • Wzorzec nazwy przynęty: historycznie spotykane tematy/lury (np. „New Year’s Greeting Card” po rosyjsku), ale nie ufaj IOC‑om statycznym – stawiaj na zachowanie.

False positives / tuning

  • OLE/Packager w Wordzie może legitymnie odpalać mspaint.exe, iexplore.exe itp. – whitelistuj konkretne aplikacje/osadzenia (np. klasy COM/ProgID).
  • Skrypty administracyjne uruchamiane z dokumentu w środowiskach deweloperskich – oznaczaj kontekst (grupy, ścieżki share’ów, podpisy).
  • Tuning po CommandLine (np. -enc, -nop, -w hidden dla PowerShell) i po ParentCommandLine zawierającym ścieżkę do .rtf.
  • Na poziomie poczty – filtry auf falszywe pozytywy dla szablonów RTF generowanych przez systemy legacy (sprawdź reputację nadawcy + DKIM/DMARC).

Playbook reagowania (IR)

  1. Triage i izolacja: odłącz host (EDR/MDI).
  2. Zabezpiecz dowody:
    • Zrzut listy procesów i drzew: Get-Process | Sort-Object ProcessName Get-CimInstance Win32_Process | Where-Object {$_.ParentProcessId -ne 0} | Select Name,ProcessId,ParentProcessId,CommandLine | Sort Name
    • Zbierz dzienniki Sysmon/Windows: wevtutil epl Microsoft-Windows-Sysmon/Operational C:\IR\sysmon.evtx wevtutil epl Security C:\IR\security.evtx
  3. Korelacja z pocztą (M365):
    • Sprawdź EmailEvents po RecipientEmailAddress i NetworkMessageId (Advanced Hunting/Sentinel).
  4. Blokuj odbiorcę/nadawcę kampanii (policy DLP/transport rules; ZAP, jeśli nie zadziałał).
  5. Patching: potwierdź, że host ma zainstalowany biuletyn MS10‑087 / odpowiednie KB.
  6. Eradykacja: usuń plik RTF, artefakty 2. etapu, wpisy Autostartu (jeśli wystąpiły).
  7. Lessons learned: reguły ASR (blokada procesów potomnych Office), blokady rozszerzeń RTF w bramkach mailowych.

Przykłady z kampanii / case studies

  • Aoqin Dragon – wykorzystywał m.in. CVE‑2010‑3333 (T1203) w atakach ukierunkowanych.
  • Transparent Tribe – w przeszłości używał dokumentów RTF do execute (T1203), w tym CVE‑2010‑3333.
  • Przynęty tematyczne raportowane przez Microsoft (WDSI) – np. „New Year’s Greeting Card” (ru), „Bilawar Bhutto Sex Scandal” – przykład socjotechniki dla RTF.

Lab (bezpieczne testy) — przykładowe komendy

Cel: sprawdzić, czy telemetria i reguły działają bez użycia złośliwego exploit‑RTF.

  1. Telemetria procesów potomnych (pozytywny, lecz „dobry” sygnał):
    • W Wordzie: Wstaw → Obiekt → Obraz mapy bitowej (Paint) → zapis i zamknięcie. To uruchomi mspaint.exe jako dziecko WINWORD.EXE, co pozwoli przetestować pipeline logowania i reguły (powinno być dopuszczone jako FP do wykluczenia).
  2. Sprawdzenie parsowania RTF offline:
    • Użyj narzędzi analitycznych do statycznego wglądu (np. rtfdump.py, oletools rtfobj) na bezpiecznych plikach referencyjnych. Szukaj znaczników \object, \objdata, anomalii w strukturze (np. nietypowe wielkości).
  3. Korelacja z M365:
    • Wyślij do skrzynki testowej nieszkodliwy RTF i zweryfikuj, że pojawia się w EmailAttachmentInfo oraz że KQL łączy dane z DeviceProcessEvents.

Mapowania (Mitigations, Powiązane techniki)

Mitigations (ATT&CK)

  • M1051 – Update Software: stosuj poprawki (MS10‑087/KB) i regularny patching pakietu Office/Outlook.
  • M1042 – Disable or Remove Feature or Program: wyłącz/usuń zbędne komponenty Office/RTF w viewerach, rozważ blokady uruchamiania procesów potomnych Office (ASR/AppControl).
  • Dodatkowo: szkolenia użytkowników, filtrowanie i inspekcja poczty (powiązanie z T1566).

Powiązane techniki ATT&CK (H3)

  • T1203 — Exploitation for Client Execution -Atakujący uruchamia kod poprzez exploit w aplikacji klienckiej (tu: Word/RTF). Platforms: Windows, macOS; Tactic: Execution. Ver. 1.5 (modyf. 24‑10‑2025).
  • T1566.001 — Phishing: Spearphishing Attachment -Dostarczanie złośliwego RTF jako załącznika e‑mail, często z przynętami tematów. Tactic: Initial Access.
  • T1204 — User Execution – Skuteczność zależy od interakcji użytkownika (otwarcie/podgląd).

Źródła / dalsza literatura

  • NVD – CVE‑2010‑3333: opis, wersje podatne, CVSS, KEV (CISA). (NVD)
  • Microsoft MS10‑087 (Security Bulletin): szczegóły ataku przez podgląd RTF w Outlook (Word jako czytnik), listy wersji i KB. (Microsoft Learn)
  • Rapid7 (Metasploit module): kontekst właściwości pFragments w parserze RTF. (Rapid7)
  • MITRE ATT&CK T1203 (ver. 1.5, v18) – przykłady grup wykorzystujących CVE‑2010‑3333. (MITRE ATT&CK)
  • ATT&CK T1566.001 – spearphishing attachment (kontekst dostarczenia). (MITRE ATT&CK)
  • Microsoft WDSI – Exploit:Win32/CVE‑2010‑3333 – przykładowe tematy przynęt. (microsoft.com)
  • M365 Defender – EmailEvents / EmailPostDeliveryEvents – dokumentacja schematów. (Microsoft Learn)
  • Sigma – „Suspicious Microsoft Office Child Process”. (detection.fyi)
  • Elastic – prebuilt EQL „Suspicious MS Office Child Process”. (Elastic)
  • Splunk blog/research – praca z Sysmon EID 1; oraz analityka „Office spawning cmd.exe”. (Splunk)

Checklisty dla SOC / CISO

SOC

  • Reguły: Office → LOLBins (Sigma/Splunk/KQL/EQL) włączone i przetestowane.
  • Korelacja EmailEventsDeviceProcessEvents po UPN/NetworkMessageId.
  • Zbieranie Sysmon (EID 1/3) i Windows Security (4688) z hostów użytkowników.
  • Alert na awarie Worda (EID 1000) w kontekście otwarcia .rtf.
  • Blokady/ASR: „Block Office applications from creating child processes”.

CISO

  • Potwierdzony patch level (MS10‑087) dla wszystkich stacji z Office.
  • Polityka pocztowa: sandbox/preview dla RTF, DMARC/DKIM, ZAP aktywny.
  • Testy skuteczności detekcji (bezpieczne laby) i cykliczne ćwiczenia IR.
  • Program świadomości użytkowników nt. załączników RTF (T1566.001).

Uwaga końcowa: CVE‑2010‑3333 ma w NVD CVSS v3.1 = 7.8 (HIGH) oraz CVSS v2 = 9.3 (HIGH); traktuj jako wysoki priorytet i utrzymuj łatki/kompensacje.

Jeden komentarz do “CVE-2010-3333 — Microsoft Office RTF Stack Buffer Overflow (MS10‑087)”

  1. Pingback: Najczęściej Wykorzystywane Podatności CVE W Atakach Cybernetycznych - Security Bez Tabu

Możliwość komentowania została wyłączona.