Az új Sandworm Windows nulladik napi sebezhetőség használata a célzott támadásokban
2014. október 20.
A Windowst érintő új sebezhetőség kihasználásával amerikai és európai célpontokat támadtak a kiberbűnözők. A Microsoft Windows OLE Package Manager Remote Code Execution sérülékenység (CVE-2014-4114) lehetővé teszi a támadók számára, hogy Object linking és embedding (OLE) fájlokat ágyazzanak be külső helyszínekről, illetve arra is használható, hogy kártevőket telepítsenek az áldozatok számítógépeire. A sérülékenységet valószínűleg a Sandworm elnevezésű kiberkémkedéssel foglalkozó csoport használta a Backdoor.Lancafdo.A (Black Energy) kártevő célba juttatásához.
A sérülékenység a Windows Vista Service Pack 2-től a Windows 8.1-ig, valamint a Windows Server 2008 és 2012 verzióig a Windows minden verzióját érinti.
A biztonsági rést az iSIGHT Partners munkatársai fedezték fel. Véleményük szerint az újonnan felfedezett hibát már néhány esetben ki is használták a NATO-t, ukrán kormányszerveket, nyugat-európai kormányzati szervezeteket, az energetikai szektorban tevékenykedő vállalatokat, európai telekommunikációs vállalatokat, valamint amerikai oktatási intézményeket érintő kiberkémkedési támadások során. A Symantec telemetriai adatai szerint a sérülékenységet kihasználó támadások augusztus óta zajlanak. A támadásokat az iSIGHT egy fejlett, folyamatos fenyegetést jelentő csoportnak (advanced persistent threat – APT) tulajdonította, amelyet Sandwormnak neveztek el.
Az eddig észlelt támadások célpontjai adathalász e-maileket kaptak, amelyekhez egy rosszindulatú kódsort tartalmazó PowerPoint-prezentációt csatoltak. A Symantec a Trojan.Mdropperként azonosította a digitális kártevőt. A PowerPoint file két beágyazott OLE objektumba rejtett webcímet is tartalmaz. Megnyitása után a csatolmány azonnal kapcsolatba lép a két webcímmel, ahonnan egy .exe és egy .inf kiterjesztésű állomány töltődik a számítógépre, amely telepíti a kártevőt. A Symantec ezt a kártevőt Backdoor.Lancafdo.A.-ként azonosítja. Bár a jelenlegi sérülékenység kihasználásához egyelőre csak PowerPoint file-okat használtak, a biztonsági rés természetét tekintve elképzelhető, hogy a közeljövőben a Microsoft Office más programjainak dokumentumait (Word, Excel) is felhasználják majd a támadók.
A telepítést követően a támadók további rosszindulatú szoftvereket tudnak az áldozatok gépére letölteni és telepíteni. Maga az eredetileg telepített kártevő saját frissítéseit is letölti, amely egy adatlopásra kifejlesztett modult is tartalmaz. A Symantec jelenleg kritikus fenyegetésként tekint a biztonsági résre, mivel az lehetővé teszi, hogy a támadók különféle kódsorokat futtassanak a célpont számítógépén. Bár egyelőre csak korlátozott mértékben éltek vissza a módszerrel, a nyilvánosságra kerülés után várhatóan más csoportok is igyekeznek majd a hasznukra fordítani a sérülékenységet.
Tanács az üzleti és otthoni felhasználók számára:
A Symantec az összes érintett Windows-felhasználó számára azt javasolja, hogy minél előbb telepítsék a Microsoft által kiadott Microsoft Security Bulletin MS14-060 számú biztonsági frissítést, amely tartalmazza a biztonsági rést megszüntető javítást. Emellett bizonyosodjanak meg róla, hogy biztonsági szoftverük adatbázisát megfelelően frissítették és elővigyázatosan járjanak el az e-mailek csatolmányainak megnyitásakor, különösen akkor, ha azok ismeretlen feladótól érkeztek.
Symantec védelem
A Symantec felhasználói védelmet élveznek ezzel a támadástípussal szemben az alábbi észlelések esetén:
Antivírus:
Backdoor.Lancafdo
Backdoor.Lancafdo.A
Trojan.Mdropper
Behatolás elleni védelem:
Támadás: rosszindulatú file letöltése
Kapcsolódó cikkek
- G Data Internet Security for Android
- A G Data mobil megoldását teszteltük
- Az androidosok ötödét érte már valamilyen támadás
- Minden ötödik Android felhasználó szembesül kibertámadással
- A Microsoft rögtön a Windows 10-esre ugrott
- A BlackEnergy lecsapott Ukrajnára
- A virtuális környezeteket érintő fenyegetések
- Fény derült egy pénzügyi kibertámadás titkaira
- A Google szerint Androidra nem kell védelem
- Steve Ballmer írta a kék halál szövegét