iSight Partnersが調査を行ったサイバーエスピオナージで未修正のWindowsの脆弱性が悪用されていたことが判明し、Microsoftとの調整を経て同社は2014年10月14日(現地時間)にこの活動に関する情報を発表しました。ここでは脆弱性、及びそれを悪用する活動に関連する情報をまとめます。
脆弱識別情報
- CVE-2014-4114
影響を受けるWindows
- サポート中のWindows Server 2003 を除く、Windows OS全てが影響を受ける。
- Windows Vista x64 Service Pack 2
- Windows Vista Service Pack 2
- Windows Server 2008 R2 x6 Service pack 1
- Windows Server 2008 Services Pack 2
- Windows Sever 2008 x64 Service Pack 2
- Windows Server 2012
- Windows Server 2012 R2
- Windows 7 Service pack 1
- Windows 7 x64 Service Pack 1
- Windows 8 x64
- Windows 8
- Windows 8.1 x64
- Windows 8.1
- Windows RT
- Windows RT 8.1
CVE-2014-4114を悪用した攻撃シナリオ
- Exploit(OLEオブジェクト)が含まれたMicrosoft Officeファイルをダウンロード、またはメール等で受信し、かつ開いた場合に影響を受ける可能性がある。
- 保護されたビューで開封した場合はリスクを軽減してファイル内容を確認することが可能。
- 脆弱性が悪用された場合、現在のユーザーと同じユーザー権限となる。
悪用が確認されているPowerPoint関係のファイルについて
CVE-2014-4114が埋め込まれたPowerPointファイルが確認されている。ファイルの種別によって挙動が異なる。
ファイル種別 | 拡張子 | 開封時動作 | 悪用時のUAC表示 | 報告事例 |
---|---|---|---|---|
PowerPointプレゼンテーション | .pptx .ppt |
編集モード | 表示される | 報告無し |
PowerPointスライドショー | .ppsx .pps |
プレゼンテーションモード | 表示されない | 報告有り |
OLEについて
OLE とは何ですか?
https://technet.microsoft.com/ja-jp/library/security/MS14-060
OLE (Object Linking and Embedding) は、複合データを作成および編集する機能など、データや機能をアプリケーションで共有できるようにするテクノロジです。複合データとは、複数の形式の情報が含まれるデータです。たとえば、複合 Microsoft Word 文書には、埋め込み Microsoft Excel スプレッドシート (つまり OLE オブジェクト) が含まれる場合があります。このテクノロジにより、埋め込み先での編集も可能になります。OLE オブジェクトがアクティブにされている際、新たなアプリケーションは起動せず、その代わり、ユーザーがそれまで使用していたアプリケーション内に新たなメニュー アイテムのセットが表示されます。OLE の詳細については、「Compound Documents」(英語情報) を参照してください。
対策
回避策
- iSIGHT Partners、Microsoftは以下3つの回避策を紹介している。詳細はMS14-060参照のこと。
- WebClientサービスの無効化
- TCP 139/445ポートの遮断
- セットアップ情報ファイル(.inf)経由での実行ファイルの起動抑止
CVE-2014-4114を悪用するサイバーエスピナオージ
組織名称
関連情報
- Malware BlackEnegyに関する調査
サンプル検体
File | Type | Hash | Sandbox Analysis |
---|---|---|---|
spiski_deputatov_done.ppsx | Exploit (CVE-2014-4114) |
70b8d220469c8071029795d32ea91829f683e3fbbaa8b978a31a0974daee8aaf | Malwr |
slide1.exe (slide1.gif) |
Payload | 0fda6c118fb7dc946440cb9225e32ab1825d87d4f088bb75a6eab7cef35433bc | Malwr ThreatExpert |
slides.inf | Payload(.inf) | 1dc8e4a5be35f12b26b1ca4340b8f08ad073c67203d05392a4b9e7b9e9635d63 | - |
Slides.infの内容(一部?)
; 61883.INF
http://pastebin.com/rfYAdRrF
; Copyright (c) Microsoft Corporation. All rights reserved.
[Version]
Signature = "$CHICAGO$"
Class=61883
ClassGuid={7EBEFBC0-3200-11d2-B4C2-00A0C9697D17}
Provider=%Msft%
DriverVer=06/21/2006,6.1.7600.16385
[DestinationDirs]
DefaultDestDir = 1
[DefaultInstall]
RenFiles = RxRename
AddReg = RxStart
[RxRename]
slide1.gif.exe, slide1.gif
[RxStart]
HKLM,Software\Microsoft\Windows\CurrentVersion\RunOnce,Install,,%1%\slide1.gif.exe
謝辞
この記事は次の方の情報を元に追記を行っています。
- @0x009AD6_810さん