CVE-2010-3333 — Microsoft Office RTF Stack Buffer Overflow (MS10‑087)

TL;DR

CVE‑2010‑3333 to luka typu stack‑based buffer overflow w parserze RTF pakietu Microsoft Office. Otworzenie lub choćby podgląd (Outlook używający Worda jako czytnika) specjalnie spreparowanego RTF może prowadzić do zdalnego wykonania kodu z uprawnieniami użytkownika. Luka była aktywnie wykorzystywana (znajduje się w CISA KEV) i często dostarczana jako załącznik e‑mail (ATT&CK T1566.001), a samo wykonanie to T1203. najważniejsze sygnały: WINWORD.EXE otwiera plik .rtf i uruchamia proces potomny (np. cmd.exe, powershell.exe). Patch: biuletyn MS10‑087.

Krótka definicja techniczna

CVE‑2010‑3333 opisuje błąd przepełnienia stosu w składniku obsługi RTF Microsoft Office (m.in. Word), umożliwiający uruchomienie dowolnego kodu po przetworzeniu złośliwego RTF. Mechanizm bywał wywoływany m.in. przez adekwatność pFragments w obiektach RTF (Office Art/Shape), co skutkuje korupcją pamięci i przejęciem przepływu sterowania.

Gdzie występuje / przykłady platform

• Windows (Office XP/2003/2007/2010) – zagrożone wersje przed MS10‑087, często wektor: e‑mail/załącznik RTF.
• macOS (Office 2004/2008/2011; Open XML File Format Converter) – również podatne, aktualizacje w ramach MS10‑087/KB.
• M365/Exchange Online/Outlook – tor dostarczenia (skanowanie i telemetryka: EmailEvents, EmailAttachmentInfo).

Szczegółowy opis techniki (jak działa, cele, dlaczego jest skuteczna)

Luka polega na błędzie zapisu poza granice bufora (CWE‑787) w kodzie analizującym dane RTF. Wystarczy, aby ofiara otworzyła lub podejrzała wiadomość/plik RTF – w konfiguracjach z Wordem jako czytnikiem w Outlook 2007/2010 samo „Preview Pane” może wyzwolić exploit. Po udanym przepełnieniu stosu atakujący uzyskuje wykonanie kodu w kontekście użytkownika. Praktycznie wszystkie ówczesne edycje Office dla Windows i macOS były podatne przed łatą MS10‑087. Skuteczność wynika z: popularności RTF/Office, niskiej świadomości ryzyka „podglądu”, oraz łatwości dostarczenia przez e‑mail (T1566.001).

Wykorzystanie w kampaniach: technika T1203 jest powszechnie nadużywana; MITRE wskazuje grupy (np. Aoqin Dragon, Transparent Tribe), które historycznie korzystały m.in. z CVE‑2010‑3333.

Artefakty i logi (co zbierać)

WarstwaŹródło/logCo obserwowaćIdentyfikator / polaUwagi

Endpoint (Windows)	Sysmon	Procesy potomne WINWORD.EXE → cmd.exe, powershell.exe, wscript.exe, mshta.exe, rundll32.exe, regsvr32.exe	EID 1 (Process creation), ParentImage, CommandLine	Podstawowy sygnał wykonania po eksploatacji.
Endpoint (Windows)	Security	Tworzenie procesu	4688	Alternatywa dla Sysmon.
Endpoint (Windows)	Sysmon	Połączenia sieciowe procesu potomnego	EID 3	Eksfiltracja/ładowanie 2. etapu.
Aplikacje	Aplikation Error	Awaria WINWORD.EXE po otwarciu RTF	EID 1000	Czasem skutek nieudanego exploitu.
Poczta M365	Defender XDR – EmailEvents	Dostarczenie załącznika .rtf, verdict (Malware/Phish), NetworkMessageId	Tabela EmailEvents	Korelować z host‑telemetry (czas/odbiorca).
Poczta M365	EmailAttachmentInfo	FileType/AttachmentExtension = rtf	Tabela EmailAttachmentInfo	Rozszerzenie + wielkość, nadawca.
Poczta M365	EmailPostDeliveryEvents	Akcje ZAP (usunięcie, przeniesienie)	ActionType (np. ZAP)	Przydatne do potwierdzenia mitigacji.
Cloud	AWS CloudTrail (Data Events)	(opcjonalnie) pobranie złośliwego RTF z S3	s3:GetObject (włączone Data Events)	Tylko jeżeli wektor to link do pliku w S3; nie jest typowy dla tej CVE.

Uwaga: CVE‑2010‑3333 znajduje się w katalogu CISA Known Exploited Vulnerabilities – podnosi to priorytet reagowania.

Detekcja (praktyczne reguły)

Sigma (Windows / Process Creation)

title: Office Child Process — Possible RTF Exploit (CVE-2010-3333) id: 6d5e3c3a-6c8a-4a3c-9a0b-rtf3333 status: experimental description: Wykrywa podejrzane procesy potomne uruchamiane przez WINWORD.EXE po otwarciu pliku RTF (T1203, T1566.001). references: - https://detection.fyi/sigmahq/sigma/windows/process_creation/proc_creation_win_office_susp_child_processes/ logsource: category: process_creation product: windows detection: selection_parent: ParentImage|endswith: - '\WINWORD.EXE' selection_child: Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\rundll32.exe' - '\regsvr32.exe' condition: selection_parent and selection_child falsepositives: - Zdarzenia OLE/Packager (np. osadzenie obrazu uruchamia MSPAINT) - Skrypty administracyjne uruchamiane celowo z dokumentów (rzadkie) level: high tags: - attack.t1203 - attack.t1566.001

Źródło wzorca: repozytorium Sigma/„Suspicious Microsoft Office Child Process”.

Splunk (SPL)

index=win* (source="WinEventLog:Microsoft-Windows-Sysmon/Operational" OR EventCode=4688) | eval ParentImage=coalesce(ParentImage,Process_Parent_Image) | search ParentImage="*\\WINWORD.EXE" | eval Image=coalesce(Image,New_Process_Name) | where like(Image,"%\\cmd.exe") OR like(Image,"%\\powershell.exe") OR like(Image,"%\\wscript.exe") OR like(Image,"%\\mshta.exe") OR like(Image,"%\\rundll32.exe") OR like(Image,"%\\regsvr32.exe") | stats values(CommandLine) values(ParentCommandLine) count by _time host User Image ParentImage

Kontekst i dobre praktyki pracy na Sysmon EID 1 w Splunk.

Microsoft 365 Defender / Sentinel (KQL – Advanced Hunting)

// 1) Procesy potomne Worda związane z exploitami/LOLBinami DeviceProcessEvents | where Timestamp > ago(7d) | where InitiatingProcessFileName =~ "WINWORD.EXE" | where FileName in~ ("cmd.exe","powershell.exe","wscript.exe","cscript.exe","mshta.exe","rundll32.exe","regsvr32.exe") | project Timestamp, DeviceName, AccountName, FileName, ProcessCommandLine, InitiatingProcessCommandLine, InitiatingProcessSHA1 // 2) Korelacja z mailem i załącznikiem RTF (ta sama ofiara ~ +/- 2h) | join kind=leftouter ( EmailAttachmentInfo | where Timestamp > ago(7d) | where AttachmentExtension =~ "rtf" | project RecipientEmailAddress, NetworkMessageId, AttachmentFileName, Timestamp ) on $left.AccountUpn == $right.RecipientEmailAddress

Dokumentacja tabel EmailEvents/EmailAttachmentInfo/EmailPostDeliveryEvents.

CloudTrail query (opcjonalnie – gdy RTF hostowany w S3)

# wymagane włączone Data Events dla S3 aws cloudtrail lookup-events \ --lookup-attributes AttributeKey=EventName,AttributeValue=GetObject \ --start-time 2025-11-01T00:00:00Z --end-time 2025-11-04T23:59:59Z \ --query 'Events[?contains(CloudTrailEvent, `.rtf`)].[EventTime,Username,Resources]'

Użyteczne tylko, gdy kampania używała linku do RTF w S3 (nie typowy wektor tej CVE).

Elastic / EQL

process where process.name in ("cmd.exe","powershell.exe","wscript.exe","cscript.exe","mshta.exe","rundll32.exe","regsvr32.exe") and parent.process.name == "WINWORD.EXE"

Predefiniowana reguła „Suspicious MS Office Child Process” (Elastic).

Heurystyki / korelacje

• Word → LOLBin: drzewo procesu WINWORD.EXE → „living‑off‑the‑land” (rundll32, regsvr32, mshta) w 0–5 min od otwarcia .rtf.
• Mail → Host: EmailEvents.NetworkMessageId (M365) skorelowany z aktywnością użytkownika na stacji (ten sam odbiorca/UPN).
• Preview pane: zdarzenie może wystąpić bez eksplicytnego „Open”, gdy włączony podgląd wiadomości RTF w Outlook (Word jako czytnik).
• Awaria Worda (EID 1000) tuż po otwarciu RTF – ślad nieudanego exploitu.
• Wzorzec nazwy przynęty: historycznie spotykane tematy/lury (np. „New Year’s Greeting Card” po rosyjsku), ale nie ufaj IOC‑om statycznym – stawiaj na zachowanie.

False positives / tuning

• OLE/Packager w Wordzie może legitymnie odpalać mspaint.exe, iexplore.exe itp. – whitelistuj konkretne aplikacje/osadzenia (np. klasy COM/ProgID).
• Skrypty administracyjne uruchamiane z dokumentu w środowiskach deweloperskich – oznaczaj kontekst (grupy, ścieżki share’ów, podpisy).
• Tuning po CommandLine (np. -enc, -nop, -w hidden dla PowerShell) i po ParentCommandLine zawierającym ścieżkę do .rtf.
• Na poziomie poczty – filtry auf falszywe pozytywy dla szablonów RTF generowanych przez systemy legacy (sprawdź reputację nadawcy + DKIM/DMARC).

Playbook reagowania (IR)

1. Triage i izolacja: odłącz host (EDR/MDI).
2. Zabezpiecz dowody:
   • Zrzut listy procesów i drzew: Get-Process | Sort-Object ProcessName Get-CimInstance Win32_Process | Where-Object {$_.ParentProcessId -ne 0} | Select Name,ProcessId,ParentProcessId,CommandLine | Sort Name
   • Zbierz dzienniki Sysmon/Windows: wevtutil epl Microsoft-Windows-Sysmon/Operational C:\IR\sysmon.evtx wevtutil epl Security C:\IR\security.evtx
3. Korelacja z pocztą (M365):
   • Sprawdź EmailEvents po RecipientEmailAddress i NetworkMessageId (Advanced Hunting/Sentinel).
4. Blokuj odbiorcę/nadawcę kampanii (policy DLP/transport rules; ZAP, jeżeli nie zadziałał).
5. Patching: potwierdź, iż host ma zainstalowany biuletyn MS10‑087 / odpowiednie KB.
6. Eradykacja: usuń plik RTF, artefakty 2. etapu, wpisy Autostartu (jeśli wystąpiły).
7. Lessons learned: reguły ASR (blokada procesów potomnych Office), blokady rozszerzeń RTF w bramkach mailowych.

Przykłady z kampanii / case studies

• Aoqin Dragon – wykorzystywał m.in. CVE‑2010‑3333 (T1203) w atakach ukierunkowanych.
• Transparent Tribe – w przeszłości używał dokumentów RTF do execute (T1203), w tym CVE‑2010‑3333.
• Przynęty tematyczne raportowane przez Microsoft (WDSI) – np. „New Year’s Greeting Card” (ru), „Bilawar Bhutto Sex Scandal” – przykład socjotechniki dla RTF.

Lab (bezpieczne testy) — przykładowe komendy

Cel: sprawdzić, czy telemetria i reguły działają bez użycia złośliwego exploit‑RTF.

1. Telemetria procesów potomnych (pozytywny, ale „dobry” sygnał):
   • W Wordzie: Wstaw → Obiekt → Obraz mapy bitowej (Paint) → zapis i zamknięcie. To uruchomi mspaint.exe jako dziecko WINWORD.EXE, co pozwoli przetestować pipeline logowania i reguły (powinno być dopuszczone jako FP do wykluczenia).
2. Sprawdzenie parsowania RTF offline:
   • Użyj narzędzi analitycznych do statycznego wglądu (np. rtfdump.py, oletools rtfobj) na bezpiecznych plikach referencyjnych. Szukaj znaczników \object, \objdata, anomalii w strukturze (np. nietypowe wielkości).
3. Korelacja z M365:
   • Wyślij do skrzynki testowej nieszkodliwy RTF i zweryfikuj, iż pojawia się w EmailAttachmentInfo oraz iż KQL łączy dane z DeviceProcessEvents.

Mapowania (Mitigations, Powiązane techniki)

Mitigations (ATT&CK)

• M1051 – Update Software: stosuj poprawki (MS10‑087/KB) i regularny patching pakietu Office/Outlook.
• M1042 – Disable or Remove Feature or Program: wyłącz/usuń zbędne komponenty Office/RTF w viewerach, rozważ blokady uruchamiania procesów potomnych Office (ASR/AppControl).
• Dodatkowo: szkolenia użytkowników, filtrowanie i inspekcja poczty (powiązanie z T1566).

Powiązane techniki ATT&CK (H3)

• T1203 — Exploitation for Client Execution -Atakujący uruchamia kod poprzez exploit w aplikacji klienckiej (tu: Word/RTF). Platforms: Windows, macOS; Tactic: Execution. Ver. 1.5 (modyf. 24‑10‑2025).
• T1566.001 — Phishing: Spearphishing Attachment -Dostarczanie złośliwego RTF jako załącznika e‑mail, często z przynętami tematów. Tactic: Initial Access.
• T1204 — User Execution – Skuteczność zależy od interakcji użytkownika (otwarcie/podgląd).

Źródła / dalsza literatura

• NVD – CVE‑2010‑3333: opis, wersje podatne, CVSS, KEV (CISA). (NVD)
• Microsoft MS10‑087 (Security Bulletin): szczegóły ataku przez podgląd RTF w Outlook (Word jako czytnik), listy wersji i KB. (Microsoft Learn)
• Rapid7 (Metasploit module): kontekst adekwatności pFragments w parserze RTF. (Rapid7)
• MITRE ATT&CK T1203 (ver. 1.5, v18) – przykłady grup wykorzystujących CVE‑2010‑3333. (MITRE ATT&CK)
• ATT&CK T1566.001 – spearphishing attachment (kontekst dostarczenia). (MITRE ATT&CK)
• Microsoft WDSI – Exploit:Win32/CVE‑2010‑3333 – przykładowe tematy przynęt. (microsoft.com)
• M365 Defender – EmailEvents / EmailPostDeliveryEvents – dokumentacja schematów. (Microsoft Learn)
• Sigma – „Suspicious Microsoft Office Child Process”. (detection.fyi)
• Elastic – prebuilt EQL „Suspicious MS Office Child Process”. (Elastic)
• Splunk blog/research – praca z Sysmon EID 1; oraz analityka „Office spawning cmd.exe”. (Splunk)

Checklisty dla SOC / CISO

SOC

• Reguły: Office → LOLBins (Sigma/Splunk/KQL/EQL) włączone i przetestowane.
• Korelacja EmailEvents DeviceProcessEvents po UPN/NetworkMessageId.
• Zbieranie Sysmon (EID 1/3) i Windows Security (4688) z hostów użytkowników.
• Alert na awarie Worda (EID 1000) w kontekście otwarcia .rtf.
• Blokady/ASR: „Block Office applications from creating child processes”.

CISO

• Potwierdzony patch level (MS10‑087) dla wszystkich stacji z Office.
• Polityka pocztowa: sandbox/preview dla RTF, DMARC/DKIM, ZAP aktywny.
• Testy skuteczności detekcji (bezpieczne laby) i cykliczne ćwiczenia IR.
• Program świadomości użytkowników nt. załączników RTF (T1566.001).

Uwaga końcowa: CVE‑2010‑3333 ma w NVD CVSS v3.1 = 7.8 (HIGH) oraz CVSS v2 = 9.3 (HIGH); traktuj jako wysoki priorytet i utrzymuj łatki/kompensacje.