至少有兩群攻擊者仍持續運用近期發現的 Windows Sandworm 漏洞,使用可繞過修正程式的攻擊程式。這項漏洞隨著名為 Sandworm 的團體所撰寫的攻擊程式而曝光,但現在有部分證據顯示,在這些團體中至少有一個團體於 10 月 14 日揭露這項漏洞之前便得知它的存在。
有了 Sandworm,這些攻擊會以電子郵件附加檔案的形式寄送,便可再次運用受感染的 PowerPoint 文件做為感染的方式。賽門鐵克偵測到這些惡意附加程式屬於 Trojan.Mdropper。此攻擊可傳遞至少兩個不同的酬載給受害者,亦即 Trojan.Taidoor和 Backdoor.Darkmoon (亦稱為 Poison Ivy)。
使用 Taidoor 團體是一個組織嚴密的威脅行動者,至少自 2008 年起便開始運作。根據過往記錄,它在發動攻擊時會入侵近期發現的零時差漏洞。最近在 3 月時,該團體針對台灣政府機關與教育機構的攻擊中,就利用了 Microsoft Word 零時差錯誤。
更惱人的還有 Darkmoon 變體。在揭露原始 Sandworm 漏洞 (CVE-2014-4114) 前數週,有線索指出,該團體可能準備在 9 月時使用這項變體 。酬載編譯時間戳記為 9 月 10 日,而上次修改受感染 PowerPoint 文件的時間為 9 月 12 日。酬載指令與控制活動則是在 9 月 24 日偵測到。
必須注意的是,賽門鐵克尚未觀察到酬載交付日期,而且攻擊者可能蓄意使用錯誤設定的電腦來建立錯誤的時間戳記。然而,從這三個時間戳記的關聯性可得知此群組很可能在 10 月 14 日之前便已運用該漏洞。
圖 1. 受感染的 PowerPoint 檔案入侵 Sandworm 漏洞
Microsoft 得知這項漏洞,並發佈了全新安全建議,就可能的攻擊向使用者示警。但該公司目前尚未發佈這項最新問題的修正程式;經過追蹤後,這項漏洞稱為 Microsoft Windows OLE 遠端程式碼執行漏洞 (CVE-2014-6352)。
原始 Sandworm 漏洞 (即 Microsoft Windows OLE Package Manager 遠端程式碼執行漏洞 (CVE-2014-4114)) 關係著 Windows 處理 OLE 的方式;OLE 這項 Microsoft 技術可讓文件中的大量資料內嵌至另一份文件,或是將文件以連結方式內嵌至另一份文件。OLE 通常會用來內嵌儲存在本機的內容,但此漏洞會在未經提示的情況下自行下載並執行外部檔案。此漏洞可讓攻擊者從外部位置內嵌「物件連結與嵌入」(Object Linking and Embedding,OLE) 檔案。透過此漏洞入侵,可在目標電腦上下載並安裝惡意軟體。
當原始漏洞 (CVE-2014-4114) 涉及連結至外部檔案的內嵌 OLE 檔案時,較新的漏洞 (CVE-2014-6352) 就會與內部內嵌可執行酬載的 OLE 檔案建立關聯。
新漏洞會影響所有 Microsoft Windows 的支援版本,但不包括 Windows Server 2003。Microsoft 已製作 Fix it 解決方案來處理已知的攻擊程式。建議 Windows 使用者在開啟 Microsoft PowerPoint 檔案或其他不受信任來源的檔案時需審慎應對。另外如果尚未啟用「使用者帳戶控制」(User Account Control,UAC),也建議使用者啟用該功能。
賽門鐵克防護
賽門鐵克會以下列方式偵測攻擊中運用此漏洞所使用的惡意軟體,以保護客戶安全。
防毒
IPS
· 網頁攻擊:Microsoft OLE RCE CVE-2014-6352
這項威脅正在調查中,必要時會推出進一步防護措施。
賽門鐵克的 DISARM 技術 (隨附於 Symantec Message Gateway 10.5 及更新版本) 可正確封鎖利用 Sandworm 漏洞的酬載。由於 DISARM 不使用特徵,因此執行此技術的客戶即使在揭露此漏點之前也同樣獲得保護。
賽門鐵克建議使用者保持安全性解決方案處於最新狀態,並在開啟來路不明電子郵件的附加檔案時審慎應對。使用賽門鐵克雲端服務的賽門鐵克客戶皆可享有保護,防範傳遞惡意軟體的垃圾郵件。為了達到最佳防護,賽門鐵克客戶也應確保使用結合消費者與企業解決方案的最新賽門鐵克技術。
更新– 2014 年 10 月 24 日:
已使用入侵防禦特徵 (IPS) 網頁攻擊:Microsoft OLE RCE CVE-2014-6352和啟發式偵測 Bloodhound.Exploit.553保護使用者並抵禦此威脅。本部落格已隨之更新。