Windows 零時差弱點 CVE-2014-4114,被用來從事網路間諜活動 ,別輕易開啟陌生人寄來的PowerPoint檔案

更新:【新聞快訊】微軟CVE-2014-4114 PPTX/PPSX 零時差攻擊 已現身台灣

微軟 Windows 作業系統零時差弱點 CVE-2014-4114

 漏洞 弱點攻擊
微軟在週二發布的例行性安全公告,其中由 iSights 所發現的零時差漏洞 CVE-2014-4114,此漏洞影響 Vista 之後所有版本的 Windows作業系統 與 Windows Server 2008及2012。據趨勢科技調查顯示,一個俄羅斯的駭客團體已透過此一漏洞來發動攻擊活動(Sandworm) ,目標是竊取與攻擊北大西洋公約組織 (NATO)與歐盟等企業與重要人士的資料。 這項漏洞存在於Windows作業系統中的OLE Package Manager,透過Office PowerPoint文件觸發該漏洞,會下載並執行特定的INF檔案,並下載任意程式碼。根據報導,一群名為「Sandworm Team」(沙蟲小隊) 的駭客利用此漏洞 (CVE-2014-4114) 來從事網路間諜活動。據稱,此漏洞從 2013 年 8 月開始即已流傳至今:「主要是製成特殊的 PowerPoint 文件當成武器使用」。此漏洞的詳細內容如下:

  • 此漏洞存在於 Microsoft Windows 系統與伺服器當中的 OLE 封裝管理程式。
  • OLE 封裝程式 (packager) 可下載並執行 INF 檔案。「在所觀察到的案例中,尤其是在處理 Microsoft PowerPoint 檔案時,封裝程式可讓封裝的 OLE 物件參照任意外部非信任來源的檔案,如 INF 檔案。」
  • 當攻擊得逞時,此漏洞可讓駭客從遠端執行任意程式碼。

趨勢科技產品已經可以偵測利用此漏洞的病毒程式,病毒名稱為” TROJ_MDLOAD.PGTY”。當開啟駭客製作的 Power Point檔案之後,會下載一個INF檔惡意程式(被偵測為” INF_BLACKEN.A”),並嘗試下載與執行一支被偵測為”BKDR_BLACKEN.A”的後門程式。 詳細病毒資訊請參考下列連結。

TROJ_MDLOAD.PGTY
http://about-threats.trendmicro.com/malware.aspx?language=en&name=TROJ_MDLOAD.PGTY
INF_BLACKEN.A
http://about-threats.trendmicro.com/malware.aspx?language=en&name=INF_BLACKEN.A
BKDR_BLACKEN.A
http://about-threats.trendmicro.com/malware.aspx?language=en&name=BKDR_BLACKEN.A

由於此一攻擊方式並不特別複雜,很有可能導致駭客們大量濫用,趨勢科技所提供的Smart Protection Network可即時偵測透過本漏洞所執行的惡意程式。

趨勢科技 Deep Security 客戶建議措施:

趨勢科技的 APT 防護解決方案已可針對此漏洞進行防護,透過”惡意文件指紋偵測引擎” (ATSE靜態引擎)成功偵測並攔阻此社交工程之惡意文件。

另外趨勢科技用戶請盡快更新最新防毒元件,以偵測此病毒程式。若有使用TrendMicro Deep Security與OfficeScan IDF plug-in的用戶們可套用下方DPI規則進行偵測。

  • 1006290 – Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114)
  • 1006291  Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114) – 1

此外,我們建議用戶盡快針對此一Windows作業系統的漏洞進行修補,在完成修補前,不要隨意開啟陌生人寄來的PowerPoint檔案,以降低被攻擊的風險。

 

◎ 原文參考出處:MS Zero-Day Used in Attacks Against European Sectors, Industries