Az új Sandworm Windows nulladik napi sebezhetőség használata a célzott támadásokban

forrás: Prím Online, 2014. október 20. 11:28

A Windowst érintő új sebezhetőség kihasználásával amerikai és európai célpontokat támadtak a kiberbűnözők. A Microsoft Windows OLE Package Manager Remote Code Execution sérülékenység (CVE-2014-4114) lehetővé teszi a támadók számára, hogy Object linking és embedding (OLE) fájlokat ágyazzanak be külső helyszínekről, illetve arra is használható, hogy kártevőket telepítsenek az áldozatok számítógépeire. A sérülékenységet valószínűleg a Sandworm elnevezésű kiberkémkedéssel foglalkozó csoport használta a Backdoor.Lancafdo.A (Black Energy) kártevő célba juttatásához.

A sérülékenység a Windows Vista Service Pack 2-től a Windows 8.1-ig, valamint a Windows Server 2008 és 2012 verzióig a Windows minden verzióját érinti.

A biztonsági rést az iSIGHT Partners munkatársai fedezték fel. Véleményük szerint az újonnan felfedezett hibát már néhány esetben ki is használták a NATO-t, ukrán kormányszerveket, nyugat-európai kormányzati szervezeteket, az energetikai szektorban tevékenykedő vállalatokat, európai telekommunikációs vállalatokat, valamint amerikai oktatási intézményeket érintő kiberkémkedési támadások során. A Symantec telemetriai adatai szerint a sérülékenységet kihasználó támadások augusztus óta zajlanak. A támadásokat az iSIGHT egy fejlett, folyamatos fenyegetést jelentő csoportnak (advanced persistent threat – APT) tulajdonította, amelyet Sandwormnak neveztek el.

Az eddig észlelt támadások célpontjai adathalász e-maileket kaptak, amelyekhez egy rosszindulatú kódsort tartalmazó PowerPoint-prezentációt csatoltak. A Symantec a Trojan.Mdropperként azonosította a digitális kártevőt. A PowerPoint file két beágyazott OLE objektumba rejtett webcímet is tartalmaz. Megnyitása után a csatolmány azonnal kapcsolatba lép a két webcímmel, ahonnan egy .exe és egy .inf kiterjesztésű állomány töltődik a számítógépre, amely telepíti a kártevőt. A Symantec ezt a kártevőt Backdoor.Lancafdo.A.-ként azonosítja. Bár a jelenlegi sérülékenység kihasználásához egyelőre csak PowerPoint file-okat használtak, a biztonsági rés természetét tekintve elképzelhető, hogy a közeljövőben a Microsoft Office más programjainak dokumentumait (Word, Excel) is felhasználják majd a támadók.

A telepítést követően a támadók további rosszindulatú szoftvereket tudnak az áldozatok gépére letölteni és telepíteni. Maga az eredetileg telepített kártevő saját frissítéseit is letölti, amely egy adatlopásra kifejlesztett modult is tartalmaz. A Symantec jelenleg kritikus fenyegetésként tekint a biztonsági résre, mivel az lehetővé teszi, hogy a támadók különféle kódsorokat futtassanak a célpont számítógépén. Bár egyelőre csak korlátozott mértékben éltek vissza a módszerrel, a nyilvánosságra kerülés után várhatóan más csoportok is igyekeznek majd a hasznukra fordítani a sérülékenységet.

Tanács az üzleti és otthoni felhasználók számára:

A Symantec az összes érintett Windows-felhasználó számára azt javasolja, hogy minél előbb telepítsék a Microsoft által kiadott Microsoft Security Bulletin MS14-060 számú biztonsági frissítést, amely tartalmazza a biztonsági rést megszüntető javítást. Emellett bizonyosodjanak meg róla, hogy biztonsági szoftverük adatbázisát megfelelően frissítették és elővigyázatosan járjanak el az e-mailek csatolmányainak megnyitásakor, különösen akkor, ha azok ismeretlen feladótól érkeztek.