AZ ÚJ SANDWORM WINDOWS NULLADIK NAPI SEBEZHETŐSÉG HASZNÁLATA A CÉLZOTT TÁMADÁSOKBAN

4 perc olvasás

2014.október.17. péntek. EuroAstra - Petrásovits Zoltán

<p><span class="inline inline-left"><a href="/node/84671"><img class="image image-preview" src="/files/images/Image10_99.jpg" border="0" width="462" height="346" /></a></span>A Windows operációs rendszert érintő új kritikus sebezhetőség kihasználásával amerikai és európai célpontokat támadtak a kiberbűnözők. A <u><a href="http://www.securityfocus.com/bid/70419/info">Microsoft Windows OLE Package Manager Remote Code Execution sérülékenység</a></u> (CVE-2014-4114) lehetővé teszi a támadók számára, hogy Object linking és embedding (OLE) fájlokat ágyazzanak be külső helyszínekről, illetve a biztonsági rés arra is használható, hogy kártevőket telepítsenek az áldozatok számítógépeire. A sérülékenységet valószínűleg a Sandworm elnevezésű kiberkémkedéssel foglalkozó csoport használta a <a href="http://www.symantec.com/security_response/writeup.jsp?docid=2009-120911-3450-99">Backdoor.Lancafdo.A</a> (más néven Black Energy) kártevő célba juttatásához a kiszemelt szervezeteknél. </p> <p>

A Windows operációs rendszert érintő új kritikus sebezhetőség kihasználásával amerikai és európai célpontokat támadtak a kiberbűnözők. A Microsoft Windows OLE Package Manager Remote Code Execution sérülékenység (CVE-2014-4114) lehetővé teszi a támadók számára, hogy Object linking és embedding (OLE) fájlokat ágyazzanak be külső helyszínekről, illetve a biztonsági rés arra is használható, hogy kártevőket telepítsenek az áldozatok számítógépeire. A sérülékenységet valószínűleg a Sandworm elnevezésű kiberkémkedéssel foglalkozó csoport használta a Backdoor.Lancafdo.A (más néven Black Energy) kártevő célba juttatásához a kiszemelt szervezeteknél.

A sérülékenység a Windows Vista Service Pack 2-től a Windows 8.1-ig, valamint a Windows Server 2008 és 2012 verzióig a Windows minden verzióját érinti.

A biztonsági rést az iSIGHT Partners munkatársai fedezték fel. Véleményük szerint az újonnan felfedezett hibát már néhány esetben ki is használták a NATO-t, ukrán kormányszerveket, nyugat-európai kormányzati szervezeteket, az energetikai szektorban tevékenykedő vállalatokat, európai telekommunikációs vállalatokat, valamint amerikai oktatási intézményeket érintő kiberkémkedési támadások során. A Symantec telemetriai adatai szerint a sérülékenységet kihasználó támadások augusztus óta zajlanak. A támadásokat az iSIGHT egy fejlett, folyamatos fenyegetést jelentő csoportnak (advanced persistent threat – APT) tulajdonította, amelyet Sandwormnak neveztek el.

Az eddig észlelt támadások célpontjai adathalász e-maileket kaptak, amelyekhez egy rosszindulatú kódsort tartalmazó PowerPoint-prezentációt csatoltak. A Symantec a Trojan.Mdropper-ként azonosította a digitális kártevőt. A PowerPoint file két beágyazott OLE objektumba rejtett webcímet is tartalmaz. Megnyitása után a csatolmány azonnal kapcsolatba lép a két webcímmel, ahonnan egy .exe és egy .inf kiterjesztésű állomány töltődik a számítógépre, amely telepíti a kártevőt. A Symantec ezt a kártevőt Backdoor.Lancafdo.A.-ként azonosítja. Bár a jelenlegi sérülékenység kihasználásához egyelőre csak PowerPoint file-okat használtak, a biztonsági rés természetét tekintve elképzelhető, hogy a közeljövőben a Microsoft Office más programjainak dokumentumait (Word, Excel) is felhasználják majd a támadók.

A telepítést követően a támadók további rosszindulatú szoftvereket tudnak az áldozatok gépére letölteni és telepíteni. Maga az eredetileg telepített kártevő saját frissítéseit is letölti, amely egy adatlopásra kifejlesztett modult is tartalmaz. A Symantec jelenleg kritikus fenyegetésként tekint a biztonsági résre, mivel az lehetővé teszi, hogy a támadók különféle kódsorokat futtassanak a célpont számítógépén. Bár egyelőre csak korlátozott mértékben éltek vissza a módszerrel, a nyilvánosságra kerülés után várhatóan más csoportok is igyekeznek majd a hasznukra fordítani a sérülékenységet.

Tanács az üzleti és otthoni felhasználók számára:

A Symantec az összes érintett Windows-felhasználó számára azt javasolja, hogy minél előbb telepítsék a Microsoft által kiadott Microsoft Security Bulletin MS14-060 számú biztonsági frissítést, amely tartalmazza a biztonsági rést megszüntető javítást. Emellett bizonyosodjanak meg róla, hogy biztonsági szoftverük adatbázisát megfelelően frissítették és elővigyázatosan járjanak el az e-mailek csatolmányainak megnyitásakor, különösen akkor, ha azok ismeretlen feladótól érkeztek.

Symantec védelem

A Symantec felhasználói védelmet élveznek ezzel a támadástípussal szemben az alábbi észlelések esetén:

Antivírus:
Backdoor.Lancafdo
Backdoor.Lancafdo.A
Trojan.Mdropper
Behatolás elleni védelem:
Támadás: rosszindulatú file letöltése