Компания
236,62
рейтинг
14 октября 2014 в 14:41

Разработка → Новая 0day уязвимость в Windows эксплуатируется in-the-wild

Специалисты компании iSIGHT Partners сегодня сообщили о новой уязвимости CVE-2014-4114 в Windows 7+, которая была обнаружена ими месяцем ранее. По информации аналитиков компании уязвимость эксплуатировалась киберпреступной группой, следы которой ведут в Россию. Эксплуатация уязвимости возможна с использованием специальным образом сформированного документа MS PowerPoint, который содержит в себе встраиваемые объекты OLE. В компоненте подсистемы Windows, который отвечает за обработку встраиваемых объектов, содержится уязвимость, позволяющая загрузить .INF-файл с удаленного сервера и установить его в системе.



Эксплойт представляет из себя документ PowerPoint, который содержит в себе два объекта oleObject1.bin и oleObject2.bin. Каждый из этих файлов содержит ссылку на внешний IP-адрес. Один из них используется для загрузки .INF-файла, который будет использован для установки вредоносной программы, а второй содержит ссылку на саму вредоносную программу — дроппер BlackEnergy Lite (Win32/Rootkit.BlackEnergy). Этот дроппер будет установлен в систему с помощью загруженного .INF-файла. Мы недавно писали про вредоносную кампанию по распространению BlackEnergy Lite одной из хакерских групп, корни которой также уходят в Россию. В обоих случаях целями становятся страны НАТО.


Рис. Ссылка на .INF файл в oleObject2.bin.


Рис. Директория с OLE-объектами во вредоносном документе PowerPoint.


Рис. Тема презентации содержит отсылку к конфликту на Украине.


Рис. Формат скачиваемого .INF-файла, который используется для установки вредоносной программы. Уязвимость позволяет загрузить оба этих файла с сервера злоумышленников.

Уязвимыми являются up-to-date версии Windows 7, новейшие Windows 8 & 8,1, а также RT. Компания Microsoft обещает закрыть эту уязвимость уже сегодня в рамках ежемесячного patch tuesday.
Автор: @esetnod32
ESET NOD32
рейтинг 236,62

Комментарии (35)

  • +6
    Такая тишина потому что все POC побежали искать?
  • +6
    как я понимаю, чтобы установить inf, нужно обладать правами суперпользователя. Тут это обходится, или рассчитано на тех, кто выключает uac?
  • +27
    > В обоих случаях целями становятся страны НАТО.

    Желтизна.
    • –3
      В чем желтизна? Жертвами этих групп становились страны восточной Европы, включая, Польшу. Все они входят в блок НАТО. Содержание документов также относилось к блоку. Ссылки на ресерч даны.
      • +7
        Из оригинальной статьи

        Visible targets:

        • NATO
        • Ukrainian government organizations
        • Western European government organization
        • Energy Sector firms (specifically in Poland)
        • European telecommunications firms
        • United States academic organization



        Судя по этой информации, не все так однозначно. Ну и западной европе тоже досталось.
      • +17
        Выше уже отписали. От себя добавлю, что ссылаясь на военно-политический блок(а не, например, на географическое положение) необходимо указывать причины подобных ссылок. Создается ощущение, что атака — действия спецслужб противника, а подобные заявления без доказательств лучше не делать, т.к. в этом и заключается желтизна.
        Через пару дней будут подробности, тогда уже можно будет говорить точнее.
  • +2
    Ничего не написано про способ заражения.
    документ PowerPoint должен быть скачан?
    • 0
      всё что выходило под MS Office — обязательно к скачиванию и выполнению. В основном документы получаются невалидные, редко валидные и пользователь ничего не видит.
      В любом случае мсофис есть «у всех» и уязвимость критическая — тут в НАТО, конечно, не пошлёшь, но конкуренты могут манагерам прислать «благодарственных писем»
  • +1
    Как это соотносится с UAC? Он должен быть обязательно выключен, а пользователь должен обладать административными привилегиями?
    • 0
      погуглите на тему UAC Bypass / Обход uac
      • 0
        Спасибо. Этот дроппер реализует уязвимость Bypass UAC?
        • 0
          Были года 4 назад шеллкоды, то есть можно было пустить прямой нагрузкой. Тут скорее всего дроппером
      • 0
        А если сидеть под юзером, а на админе пароль?
        UAC от безисходности глупости для тех кто сидит всегда под админом.

        тег S Зачеркивание не работает (если между скобкой и s ставить пробел то работает )
      • 0
        А есть способы обхода, еще не покрытые патчами? Просветите, пожалуйста, если в курсе.
        • 0
          Не в курсе. Скорее всего приватные. Ну, в конце концов, надо подождать POC вот этого или рабочую копию
  • +2
    Я думал, подобные вещи публикуют после того, как выпустят исправляющий патч.
    • +11
      А в особых случаях — для того, чтобы в компании кто-то получил пинок под зад и выпустил патч быстрее.
    • +8
      Если уже эксплуатируется in the wild, много ли разницы?
      • 0
        Вероятно это какое-то выражение, которого я не знаю.

        Большинство открыто опубликованных уязвимостей кто-то уже использовал ранее.
        Зачем же облегчать доступ вообще всем?
        • +4
          Зачем же облегчать доступ вообще всем?
          Потому что иначе никто не почешется исправлять.
        • +1
          in the wild — уже используя злоумышленниками. И уже месяц как сообщили об этом, а Microsoft так и не выпустила патч. Такая публикация уязвимостей это хороший способ заставить их почесаться.
    • 0
      Сегодня должен был быть патч. Да и proof of concept не выложили.
  • +1
    Интересно, почему в списке уязвимостей — версии Windows, и ничего про версии MS Office? Уязвимы все начиная с Office 95?
    • 0
      Судя по всему используется pptx — значит версии начиная с 2007. Под 2003 есть пакет конвертеров, но я сомневаюсь в том что он уязвим
      • +1
        Есть мнение, что ooxml — это буквальный перевод старого формата в xml, по сути — другой способ сериализации того же самого. То есть, что можно выразить в старом формате, можно и в новом, обратное тоже верно.

        Если это правда, то должен быть способ построить и уязвимый ppt-документ в старом формате. В общем, чуть ниже уже прояснили — речь про обработку событий OLE, а ему сто лет в обед, первая версия датируется 1990-м, а фишка с действиями связана по-видимому с OLE Automation, которое появилось в 1994-м — как раз тогда, когда и разрабатывался office 95, и значит, он и должен быть первым офисом, который уязвим.

        Но всё-таки винда по-любому должна спрашивать разрешения на установку. Я считаю, что ошибка в безопасности винды, а не в офисе, которому что сказали — он и делает.
  • +3
    Интересно, если .inf убран из списка исполняемых форматов (gpedit.msc -> Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Политики ограниченного использования программ -> Назначенные типы файлов), сработает ли эксплоит?
    И куда скачивается файл? Если выполнение в *temp* запрещено, спасет ли это?
    С момента опубликования поста о настройке групповых политик взял за привычку ограничивать область выполнения, спасало немало раз, но интересно было бы раздобыть такое «письмо счастья» и на виртуалке проверить.
    • +1
      inf не выполняемый а интерпретируемый, там же установщик ассоцированный с ним запускается:
      HKEY_CLASSES_ROOT\inffile\shell\Install\command
      %SystemRoot%\System32\InfDefaultInstall.exe "%1"

      Вот его и нужно запрещать на запуск, только тогда дрова и обновления вставать перестанут.
  • 0
  • +1
    На самом деле, как я понял уязвимость не PowerPoint связана. PP — лиь одна из возможных реализаций, кои можно множество придумать. Уязвимость — в самом движке OLE и атака может осуществляться через любой OLE-объект. И совершенно не факт, что запрет запуска INF-файлом поможет.
  • 0
    Я не претендую ни на что, но по всей видимости ошибка в обработке действий над OLE-объектом



    вот тут имеется только активировать объект и переименовать его
    Я немного поковырялся =) и нашёл таки параметр отвечающий за действие

    0 открытие
    1 переименование
    2 хз
    3 установка
    4 печать
    5 хз
    6 открыть с помощью
    7 падает
    8 хз
    9 падает
    10 диалог создания архива
    11 автоматическое создание архива
    12 диалог архива и на мыло
    13 архим автоматом и на мыло

    соответственно можно не просто открыть INF в блокноте, но и установить его практически без лишних вопросов.
    по всей видимости, действия перебираются из контекстного меню
    Правда, у меня алерт возник — ругается на то что файлик был сохранен из интернета (уж не знаю почему)
    Сейчас 3 часа ночи, интереса у меня уже нет, а знаний начинает хватать всё меньше
  • +1
    Текст в презентации на скриншоте на русском. Ориентация атаки на русскоязычную аудиторию?
  • 0
    cледы которой ведут в Россию

    А доказательства есть?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка