微軟CVE-2014-4114 PPTX/PPSX 零時差攻擊 已現身台灣

水杉而


發文數:2761

發表時間:2014-10-22 15:20:18 +0800

微軟 CVE-2014-4114 PPTX/PPSX 零時差攻擊 已現身台灣

微軟在上週二所發布的例行性安全公告,其中由 iSights 所發現的零時差漏洞 CVE-2014-4114 將影響 Vista 之後所有版本的 Windows 作業系統 與 Windows Server 2008 及 2012。

根據趨勢科技調查顯示,一個俄羅斯的駭客團體已透過此一漏洞來發動攻擊活動 (Sandworm),目標是竊取與攻擊北大西洋公約組織 (NATO) 與歐盟等企業與重要人士的資料。日前趨勢科技已在台灣接獲首例透過此漏洞的攻擊案例,呼籲企業及個人用戶小心防範。

此漏洞的詳細內容如下:
  • 此漏洞存在於 Microsoft Windows 系統與伺服器當中的 OLE 封裝管理程式。
  • OLE 封裝程式 (packager) 可下載並執行 INF 檔案。目前在所觀察到的案例中,尤其是在處理 Microsoft PowerPoint 檔案時,封裝程式可讓封裝的 OLE 物件參照任意外部非信任來源的檔案,如:INF 檔案。
  • 當攻擊得逞時,此漏洞可讓駭客從遠端執行任意程式碼。
趨勢科技產品已經可以偵測利用此漏洞的病毒程式,病毒名稱為”TROJ_MDLOAD.PGTY”。當開啟駭客製作的 Power Point 檔案之後,會下載一個 INF 檔惡意程式 (被偵測為”INF_BLACKEN.A”),並嘗試下載與執行一支被偵測為”BKDR_BLACKEN.A”的後門程式,可讓駭客遠端遙控進行不當行為。 

微軟CVE-2014-4114 PPTX/PPSX 零時差攻擊 已現身台灣
▲駭客利用此漏洞針對台灣企業發動攻擊之郵件樣本。

由於此一攻擊方式並不特別複雜,很有可能導致駭客們大量濫用,趨勢科技針對此波零時差攻擊提出建議:

趨勢科技用戶:

趨勢科技 APT 防護解決方案已可針對此漏洞進行防護,透過”惡意文件指紋偵測引擎”(ATSE 靜態引擎) 成功偵測並攔阻此社交工程之惡意文件。呼籲用戶請盡快更新最新防毒元件,以偵測此病毒程式。

一般用戶:

我們建議用戶盡快針對此一 Windows 作業系統的漏洞進行修補,在完成修補前,不要隨意開啟陌生人寄來的 PowerPoint 檔案,以降低被攻擊的風險。一般使用者並透過 PC-cillin 2015 雲端版協助偵測可疑的 PowerPoint 檔案,以免落入駭客陷阱。

更多詳細事件說明請參考: http://blog.trendmicro.com.tw/?p=10171

PC-cillin 2015 雲端版網路安全軟體 30 天免費試用:趨勢科技 Trend Micro
http://www.pccillin.com.tw/30D_downloads.html
水杉而 於 2014-10-22 15:20:18 +0800 修改文章內容
3c討論版 版留言 (0)
如要留言請先登入
※Email 帳號於註冊後 24 小時才可留言,您可進行手機認證以取得立即留言資格