Az új Sandworm Windows nulladik napi sebezhetőség használata a célzott támadásokban

forrás: Prím Online, 2014. október 20. 11:28

A Windowst érintő új sebezhetőség kihasználásával amerikai és európai célpontokat támadtak a kiberbűnözők. A Microsoft Windows OLE Package Manager Remote Code Execution sérülékenység (CVE-2014-4114) lehetővé teszi a támadók számára, hogy Object linking és embedding (OLE) fájlokat ágyazzanak be külső helyszínekről, illetve arra is használható, hogy kártevőket telepítsenek az áldozatok számítógépeire. A sérülékenységet valószínűleg a Sandworm elnevezésű kiberkémkedéssel foglalkozó csoport használta a Backdoor.Lancafdo.A (Black Energy) kártevő célba juttatásához. 

A sérülékenység a Windows Vista Service Pack 2-től a Windows 8.1-ig, valamint a Windows Server 2008 és 2012 verzióig a Windows minden verzióját érinti.

 

A biztonsági rést az iSIGHT Partners munkatársai fedezték fel. Véleményük szerint az újonnan felfedezett hibát már néhány esetben ki is használták a NATO-t, ukrán kormányszerveket, nyugat-európai kormányzati szervezeteket, az energetikai szektorban tevékenykedő vállalatokat, európai telekommunikációs vállalatokat, valamint amerikai oktatási intézményeket érintő kiberkémkedési támadások során. A Symantec telemetriai adatai szerint a sérülékenységet kihasználó támadások augusztus óta zajlanak. A támadásokat az iSIGHT egy fejlett, folyamatos fenyegetést jelentő csoportnak (advanced persistent threat – APT) tulajdonította, amelyet Sandwormnak neveztek el. 

 

 

Az eddig észlelt támadások célpontjai adathalász e-maileket kaptak, amelyekhez egy rosszindulatú kódsort tartalmazó PowerPoint-prezentációt csatoltak. A Symantec a Trojan.Mdropperként azonosította a digitális kártevőt. A PowerPoint file két beágyazott OLE objektumba rejtett webcímet is tartalmaz. Megnyitása után a csatolmány azonnal kapcsolatba lép a két webcímmel, ahonnan egy .exe és egy .inf kiterjesztésű állomány töltődik a számítógépre, amely telepíti a kártevőt. A Symantec ezt a kártevőt Backdoor.Lancafdo.A.-ként azonosítja. Bár a jelenlegi sérülékenység kihasználásához egyelőre csak PowerPoint file-okat használtak, a biztonsági rés természetét tekintve elképzelhető, hogy a közeljövőben a Microsoft Office más programjainak dokumentumait (Word, Excel) is felhasználják majd a támadók.


A telepítést követően a támadók további rosszindulatú szoftvereket tudnak az áldozatok gépére letölteni és telepíteni. Maga az eredetileg telepített kártevő saját frissítéseit is letölti, amely egy adatlopásra kifejlesztett modult is tartalmaz. A Symantec jelenleg kritikus fenyegetésként tekint a biztonsági résre, mivel az lehetővé teszi, hogy a támadók különféle kódsorokat futtassanak a célpont számítógépén. Bár egyelőre csak korlátozott mértékben éltek vissza a módszerrel, a nyilvánosságra kerülés után várhatóan más csoportok is igyekeznek majd a hasznukra fordítani a sérülékenységet.

 

Tanács az üzleti és otthoni felhasználók számára:

 

A Symantec az összes érintett Windows-felhasználó számára azt javasolja, hogy minél előbb telepítsék a Microsoft által kiadott Microsoft Security Bulletin MS14-060 számú biztonsági frissítést, amely tartalmazza a biztonsági rést megszüntető javítást. Emellett bizonyosodjanak meg róla, hogy biztonsági szoftverük adatbázisát megfelelően frissítették és elővigyázatosan járjanak el az e-mailek csatolmányainak megnyitásakor, különösen akkor, ha azok ismeretlen feladótól érkeztek.


Symantec védelem

 

A Symantec felhasználói védelmet élveznek ezzel a támadástípussal szemben az alábbi észlelések esetén:

 
Antivírus:


Backdoor.Lancafdo
Backdoor.Lancafdo.A
Trojan.Mdropper


Behatolás elleni védelem:


Támadás: rosszindulatú file letöltése

 

Biztonság ROVAT TOVÁBBI HÍREI

A számítógépes jelszavak világnapja

Minden évben, május első csütörtökén tartjuk a számítógépes jelszavak világnapját, amely egyben remek apropó arra, hogy beszéljünk erről a fontos témáról.

2021. május 6. 12:40

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Digitalizációs „bumm” a bankszektorban!

2021. május 4. 19:29

Óvakodjunk a COVID-19 vakcinával kapcsolatos csalásoktól és álhírektől

2021. április 19. 14:58

Új pályázatokat indít az EIT Digital

2021. április 8. 14:15

Stabil üzleti teljesítmény mellett tovább növekedett tavaly a Huawei

2021. március 31. 13:35