iSIGHT Partnersのスペシャリストは本日、Windows 7以降の新しい脆弱性CVE-2014-4114を発表しました。 会社のアナリストによると、この脆弱性はサイバー犯罪グループによって悪用され、その痕跡はロシアにつながっています。 埋め込まれたOLEオブジェクトを含む特別に細工されたMS PowerPointドキュメントを使用して、この脆弱性を悪用する可能性があります。 埋め込みオブジェクトの処理を担当するWindowsサブシステムのコンポーネントには、リモートサーバーから.INFファイルをダウンロードしてシステムにインストールできる脆弱性が含まれています。
このエクスプロイトは、oleObject1.binとoleObject2.binの2つのオブジェクトを含むPowerPointドキュメントです。 これらの各ファイルには、外部IPアドレスへのリンクが含まれています。 そのうちの1つは、悪意のあるプログラムのインストールに使用される.INFファイルのダウンロードに使用され、2つ目は悪意のあるプログラム自体へのリンク( BlackEnergy Liteドロッパー (Win32 / Rootkit.BlackEnergy))を含みます。 このドロッパーは、ダウンロードした.INFファイルを使用してシステムにインストールされます。 最近、BlackEnergy Liteをハッカーグループの1つに配布する悪意のあるキャンペーンについて書きました。ハッカーグループのルーツもロシアにあります。 どちらの場合も、NATO諸国が標的になります。
図 oleObject2.binの.INFファイルにリンクします。
図 悪意のあるPowerPointドキュメント内のOLEオブジェクトを含むディレクトリ。
図 プレゼンテーションのトピックには、ウクライナの紛争への言及が含まれています。
図 悪意のあるプログラムのインストールに使用されるダウンロードされた.INFファイルの形式。 この脆弱性により、攻撃者のサーバーからこれらのファイルの両方をダウンロードできます。
脆弱なのは、Windows 7の最新バージョン、最新のWindows 8および8.1、およびRTです。 マイクロソフトは、毎月のパッチ火曜日の一部として本日、この脆弱性を解決することを約束します。