微軟CVE-2014-4114 PPTX/PPSX 零時差攻擊 已現身台灣

微軟在上週二所發布的例行性安全公告,其中由iSights所發現的零時差漏洞CVE-2014-4114將影響Vista之後所有版本的 Windows作業系統 與Windows Server 2008及2012。根據趨勢科技調查顯示,一個俄羅斯的駭客團體已透過此一漏洞來發動攻擊活動(Sandworm),目標是竊取與攻擊北大西洋公約組織 (NATO)與歐盟等企業與重要人士的資料。日前趨勢科技已在台灣接獲首例透過此漏洞的攻擊案例,呼籲企業及個人用戶小心防範。

此漏洞的詳細內容如下:

  • 此漏洞存在於Microsoft Windows系統與伺服器當中的OLE封裝管理程式。
  • OLE封裝程式 (packager) 可下載並執行 INF 檔案。目前在所觀察到的案例中,尤其是在處理 Microsoft PowerPoint 檔案時,封裝程式可讓封裝的 OLE 物件參照任意外部非信任來源的檔案,如:INF 檔案。
  • 當攻擊得逞時,此漏洞可讓駭客從遠端執行任意程式碼。

趨勢科技產品已經可以偵測利用此漏洞的病毒程式,病毒名稱為”T>ROJ_MDLOAD.PGTY”。當開啟駭客製作的 Power Point檔案之後,會下載一個INF檔惡意程式(被偵測為”INF_BLACKEN.A”),並嘗試下載與執行一支被偵測為”BKDR_BLACKEN.A”的後門程式可讓駭客遠端遙控進行不當行為。

由於此一攻擊方式並不特別複雜,很有可能導致駭客們大量濫用,趨勢科技針對此波零時差攻擊提出建議:

趨勢科技用戶:

趨勢科技 APT 防護解決方案已可針對此漏洞進行防護,透過”惡意文件指紋偵測引擎”(ATSE靜態引擎)成功偵測並攔阻此社交工程之惡意文件。呼籲用戶請盡快更新最新防毒元件,以偵測此病毒程

一般用戶:

我們建議用戶盡快針對此一Windows作業系統的漏洞進行修補,在完成修補前,不要隨意開啟陌生人寄來的PowerPoint檔案,以降低被攻擊的風險。一般使用者並透過PC-cillin 2015 雲端版協助偵測可疑的PowerPoint 檔案,以免落入駭客陷阱。

更多詳細事件說明請參考: http://blog.trendmicro.com.tw/?p=10171