分類: Microsoft 零時差漏洞

資安警示:Microsoft Exchange 零時差 (0-Day) 漏洞攻擊偵測、防護、回應

趨勢科技 TrendMicro

 

摘要

⚠ 2021 年 3 月 2 日,Microsoft 發出了一份安全公告緊急修補更新來解決多個目前正遭受猛烈攻擊的 Microsoft Exchange Server 企業內版本零時差漏洞。

受影響的 Microsoft Exchange Server 版本包括:2010 (EOL)、2013、2016 以及 2019。
 

關於這項攻擊


公告中所指出的四個重大漏洞包括了一個可讓駭客入侵系統的網路端伺服器端請求偽造 (SSRF) 漏洞 (CVE-2021-26855),以及三個可在通過認證之後發動攻擊的本地端漏洞:CVE-2021-26857CVE-2021-26858CVE-2021-27065

研究人員認為,駭客是藉由一連串的漏洞攻擊手法來攻擊含有這些漏洞的 Exchange Server,進而駭入企業網路、竊取機敏資訊 (如:所有的電子郵件信箱與通訊錄),並從事其他惡意活動,包括:蒐集使用者登入憑證、篡改 Active Directory、在企業內四處遊走等等。

除了閱讀 Microsoft 的安全公告以及下列文章之外,強烈建議所有可能受到影響的客戶也應參考美國「網路資安與基礎架構安全局 (Cybersecurity & Infrastructure Security Agency,簡稱 CISA) 所發布的 Alert AA21-0621A 警示來獲得進一步的指示和資訊。

繼續閱讀

Windows 零時差弱點 CVE-2014-4114,被用來從事網路間諜活動 ,別輕易開啟陌生人寄來的PowerPoint檔案

趨勢科技 TrendMicro
更新:【新聞快訊】微軟CVE-2014-4114 PPTX/PPSX 零時差攻擊 已現身台灣

微軟 Windows 作業系統零時差弱點 CVE-2014-4114
 漏洞 弱點攻擊
微軟在週二發布的例行性安全公告,其中由 iSights 所發現的零時差漏洞 CVE-2014-4114,此漏洞影響 Vista 之後所有版本的 Windows作業系統 與 Windows Server 2008及2012。據趨勢科技調查顯示,一個俄羅斯的駭客團體已透過此一漏洞來發動攻擊活動(Sandworm) ,目標是竊取與攻擊北大西洋公約組織 (NATO)與歐盟等企業與重要人士的資料。 這項漏洞存在於Windows作業系統中的OLE Package Manager,透過Office PowerPoint文件觸發該漏洞,會下載並執行特定的INF檔案,並下載任意程式碼。根據報導,一群名為「Sandworm Team」(沙蟲小隊) 的駭客利用此漏洞 (CVE-2014-4114) 來從事網路間諜活動。據稱,此漏洞從 2013 年 8 月開始即已流傳至今:「主要是製成特殊的 PowerPoint 文件當成武器使用」。此漏洞的詳細內容如下:

  • 此漏洞存在於 Microsoft Windows 系統與伺服器當中的 OLE 封裝管理程式。
  • OLE 封裝程式 (packager) 可下載並執行 INF 檔案。「在所觀察到的案例中,尤其是在處理 Microsoft PowerPoint 檔案時,封裝程式可讓封裝的 OLE 物件參照任意外部非信任來源的檔案,如 INF 檔案。」
  • 當攻擊得逞時,此漏洞可讓駭客從遠端執行任意程式碼。

趨勢科技產品已經可以偵測利用此漏洞的病毒程式,病毒名稱為” TROJ_MDLOAD.PGTY”。當開啟駭客製作的 Power Point檔案之後,會下載一個INF檔惡意程式(被偵測為” INF_BLACKEN.A”),並嘗試下載與執行一支被偵測為”BKDR_BLACKEN.A”的後門程式。 詳細病毒資訊請參考下列連結。

TROJ_MDLOAD.PGTY
https://about-threats.trendmicro.com/malware.aspx?language=en&name=TROJ_MDLOAD.PGTY
INF_BLACKEN.A
https://about-threats.trendmicro.com/malware.aspx?language=en&name=INF_BLACKEN.A
BKDR_BLACKEN.A
https://about-threats.trendmicro.com/malware.aspx?language=en&name=BKDR_BLACKEN.A

由於此一攻擊方式並不特別複雜,很有可能導致駭客們大量濫用,趨勢科技所提供的Smart Protection Network可即時偵測透過本漏洞所執行的惡意程式。

趨勢科技 Deep Security 客戶建議措施:

趨勢科技的 APT 防護解決方案已可針對此漏洞進行防護,透過”惡意文件指紋偵測引擎” (ATSE靜態引擎)成功偵測並攔阻此社交工程之惡意文件。

另外趨勢科技用戶請盡快更新最新防毒元件,以偵測此病毒程式。若有使用TrendMicro Deep Security與OfficeScan IDF plug-in的用戶們可套用下方DPI規則進行偵測。

  • 1006290 – Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114)
  • 1006291  Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114) – 1

此外,我們建議用戶盡快針對此一Windows作業系統的漏洞進行修補,在完成修補前,不要隨意開啟陌生人寄來的PowerPoint檔案,以降低被攻擊的風險。

 

◎ 原文參考出處:MS Zero-Day Used in Attacks Against European Sectors, Industries