このエクスプロイトは、oleObject1.binとoleObject2.binの2つのオブジェクトを含むPowerPointドキュメントです。 これらの各ファイルには、外部IPアドレスへのリンクが含まれています。 そのうちの1つは、悪意のあるプログラムのインストールに使用される.INFファイルのダウンロードに使用され、2つ目は悪意のあるプログラム自体へのリンク( BlackEnergy Liteドロッパー (Win32 / Rootkit.BlackEnergy))を含みます。 このドロッパーは、ダウンロードした.INFファイルを使用してシステムにインストールされます。 最近、BlackEnergy Liteをハッカーグループの1つに配布する悪意のあるキャンペーンについて書きました。ハッカーグループのルーツもロシアにあります。 どちらの場合も、NATO諸国が標的になります。
図 oleObject2.binの.INFファイルにリンクします。
図 悪意のあるPowerPointドキュメント内のOLEオブジェクトを含むディレクトリ。
図 プレゼンテーションのトピックには、ウクライナの紛争への言及が含まれています。
図 悪意のあるプログラムのインストールに使用されるダウンロードされた.INFファイルの形式。 この脆弱性により、攻撃者のサーバーからこれらのファイルの両方をダウンロードできます。
脆弱なのは、Windows 7の最新バージョン、最新のWindows 8および8.1、およびRTです。 マイクロソフトは、毎月のパッチ火曜日の一部として本日、この脆弱性を解決することを約束します。