Новая 0day уязвимость в Windows эксплуатируется in-the-wild

    Специалисты компании iSIGHT Partners сегодня сообщили о новой уязвимости CVE-2014-4114 в Windows 7+, которая была обнаружена ими месяцем ранее. По информации аналитиков компании уязвимость эксплуатировалась киберпреступной группой, следы которой ведут в Россию. Эксплуатация уязвимости возможна с использованием специальным образом сформированного документа MS PowerPoint, который содержит в себе встраиваемые объекты OLE. В компоненте подсистемы Windows, который отвечает за обработку встраиваемых объектов, содержится уязвимость, позволяющая загрузить .INF-файл с удаленного сервера и установить его в системе.



    Эксплойт представляет из себя документ PowerPoint, который содержит в себе два объекта oleObject1.bin и oleObject2.bin. Каждый из этих файлов содержит ссылку на внешний IP-адрес. Один из них используется для загрузки .INF-файла, который будет использован для установки вредоносной программы, а второй содержит ссылку на саму вредоносную программу — дроппер BlackEnergy Lite (Win32/Rootkit.BlackEnergy). Этот дроппер будет установлен в систему с помощью загруженного .INF-файла. Мы недавно писали про вредоносную кампанию по распространению BlackEnergy Lite одной из хакерских групп, корни которой также уходят в Россию. В обоих случаях целями становятся страны НАТО.


    Рис. Ссылка на .INF файл в oleObject2.bin.


    Рис. Директория с OLE-объектами во вредоносном документе PowerPoint.


    Рис. Тема презентации содержит отсылку к конфликту на Украине.


    Рис. Формат скачиваемого .INF-файла, который используется для установки вредоносной программы. Уязвимость позволяет загрузить оба этих файла с сервера злоумышленников.

    Уязвимыми являются up-to-date версии Windows 7, новейшие Windows 8 & 8,1, а также RT. Компания Microsoft обещает закрыть эту уязвимость уже сегодня в рамках ежемесячного patch tuesday.
    Метки:
    ESET NOD32 123,02
    Компания
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Похожие публикации
    Комментарии 35
    • +6
      Такая тишина потому что все POC побежали искать?
      • +6
        как я понимаю, чтобы установить inf, нужно обладать правами суперпользователя. Тут это обходится, или рассчитано на тех, кто выключает uac?
        • +27
          > В обоих случаях целями становятся страны НАТО.

          Желтизна.
          • –3
            В чем желтизна? Жертвами этих групп становились страны восточной Европы, включая, Польшу. Все они входят в блок НАТО. Содержание документов также относилось к блоку. Ссылки на ресерч даны.
            • +7
              Из оригинальной статьи

              Visible targets:

              • NATO
              • Ukrainian government organizations
              • Western European government organization
              • Energy Sector firms (specifically in Poland)
              • European telecommunications firms
              • United States academic organization



              Судя по этой информации, не все так однозначно. Ну и западной европе тоже досталось.
              • +17
                Выше уже отписали. От себя добавлю, что ссылаясь на военно-политический блок(а не, например, на географическое положение) необходимо указывать причины подобных ссылок. Создается ощущение, что атака — действия спецслужб противника, а подобные заявления без доказательств лучше не делать, т.к. в этом и заключается желтизна.
                Через пару дней будут подробности, тогда уже можно будет говорить точнее.
            • +2
              Ничего не написано про способ заражения.
              документ PowerPoint должен быть скачан?
              • 0
                всё что выходило под MS Office — обязательно к скачиванию и выполнению. В основном документы получаются невалидные, редко валидные и пользователь ничего не видит.
                В любом случае мсофис есть «у всех» и уязвимость критическая — тут в НАТО, конечно, не пошлёшь, но конкуренты могут манагерам прислать «благодарственных писем»
              • +1
                Как это соотносится с UAC? Он должен быть обязательно выключен, а пользователь должен обладать административными привилегиями?
                • 0
                  погуглите на тему UAC Bypass / Обход uac
                  • 0
                    Спасибо. Этот дроппер реализует уязвимость Bypass UAC?
                    • 0
                      Были года 4 назад шеллкоды, то есть можно было пустить прямой нагрузкой. Тут скорее всего дроппером
                    • 0
                      А если сидеть под юзером, а на админе пароль?
                      UAC от безисходности глупости для тех кто сидит всегда под админом.

                      тег S Зачеркивание не работает (если между скобкой и s ставить пробел то работает )
                      • 0
                        А есть способы обхода, еще не покрытые патчами? Просветите, пожалуйста, если в курсе.
                        • 0
                          Не в курсе. Скорее всего приватные. Ну, в конце концов, надо подождать POC вот этого или рабочую копию
                    • +2
                      Я думал, подобные вещи публикуют после того, как выпустят исправляющий патч.
                      • +11
                        А в особых случаях — для того, чтобы в компании кто-то получил пинок под зад и выпустил патч быстрее.
                        • +8
                          Если уже эксплуатируется in the wild, много ли разницы?
                          • 0
                            Вероятно это какое-то выражение, которого я не знаю.

                            Большинство открыто опубликованных уязвимостей кто-то уже использовал ранее.
                            Зачем же облегчать доступ вообще всем?
                            • +4
                              Зачем же облегчать доступ вообще всем?
                              Потому что иначе никто не почешется исправлять.
                              • +1
                                in the wild — уже используя злоумышленниками. И уже месяц как сообщили об этом, а Microsoft так и не выпустила патч. Такая публикация уязвимостей это хороший способ заставить их почесаться.
                            • 0
                              Сегодня должен был быть патч. Да и proof of concept не выложили.
                          • +1
                            Интересно, почему в списке уязвимостей — версии Windows, и ничего про версии MS Office? Уязвимы все начиная с Office 95?
                            • 0
                              Судя по всему используется pptx — значит версии начиная с 2007. Под 2003 есть пакет конвертеров, но я сомневаюсь в том что он уязвим
                              • +1
                                Есть мнение, что ooxml — это буквальный перевод старого формата в xml, по сути — другой способ сериализации того же самого. То есть, что можно выразить в старом формате, можно и в новом, обратное тоже верно.

                                Если это правда, то должен быть способ построить и уязвимый ppt-документ в старом формате. В общем, чуть ниже уже прояснили — речь про обработку событий OLE, а ему сто лет в обед, первая версия датируется 1990-м, а фишка с действиями связана по-видимому с OLE Automation, которое появилось в 1994-м — как раз тогда, когда и разрабатывался office 95, и значит, он и должен быть первым офисом, который уязвим.

                                Но всё-таки винда по-любому должна спрашивать разрешения на установку. Я считаю, что ошибка в безопасности винды, а не в офисе, которому что сказали — он и делает.
                            • +3
                              Интересно, если .inf убран из списка исполняемых форматов (gpedit.msc -> Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Политики ограниченного использования программ -> Назначенные типы файлов), сработает ли эксплоит?
                              И куда скачивается файл? Если выполнение в *temp* запрещено, спасет ли это?
                              С момента опубликования поста о настройке групповых политик взял за привычку ограничивать область выполнения, спасало немало раз, но интересно было бы раздобыть такое «письмо счастья» и на виртуалке проверить.
                              • +1
                                inf не выполняемый а интерпретируемый, там же установщик ассоцированный с ним запускается:
                                HKEY_CLASSES_ROOT\inffile\shell\Install\command
                                %SystemRoot%\System32\InfDefaultInstall.exe "%1"

                                Вот его и нужно запрещать на запуск, только тогда дрова и обновления вставать перестанут.
                              • 0
                                • +1
                                  На самом деле, как я понял уязвимость не PowerPoint связана. PP — лиь одна из возможных реализаций, кои можно множество придумать. Уязвимость — в самом движке OLE и атака может осуществляться через любой OLE-объект. И совершенно не факт, что запрет запуска INF-файлом поможет.
                                  • 0
                                    Я не претендую ни на что, но по всей видимости ошибка в обработке действий над OLE-объектом



                                    вот тут имеется только активировать объект и переименовать его
                                    Я немного поковырялся =) и нашёл таки параметр отвечающий за действие

                                    0 открытие
                                    1 переименование
                                    2 хз
                                    3 установка
                                    4 печать
                                    5 хз
                                    6 открыть с помощью
                                    7 падает
                                    8 хз
                                    9 падает
                                    10 диалог создания архива
                                    11 автоматическое создание архива
                                    12 диалог архива и на мыло
                                    13 архим автоматом и на мыло

                                    соответственно можно не просто открыть INF в блокноте, но и установить его практически без лишних вопросов.
                                    по всей видимости, действия перебираются из контекстного меню
                                    Правда, у меня алерт возник — ругается на то что файлик был сохранен из интернета (уж не знаю почему)
                                    Сейчас 3 часа ночи, интереса у меня уже нет, а знаний начинает хватать всё меньше
                                  • +1
                                    Текст в презентации на скриншоте на русском. Ориентация атаки на русскоязычную аудиторию?
                                    • 0
                                      cледы которой ведут в Россию

                                      А доказательства есть?

                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                      Самое читаемое