- PVSM.RU - https://www.pvsm.ru -
Специалисты компании iSIGHT Partners сегодня сообщили [1] о новой уязвимости CVE-2014-4114 в Windows 7+, которая была обнаружена ими месяцем ранее. По информации аналитиков компании уязвимость эксплуатировалась киберпреступной группой, следы которой ведут в Россию. Эксплуатация уязвимости возможна с использованием специальным образом сформированного документа MS PowerPoint, который содержит в себе встраиваемые объекты OLE. В компоненте подсистемы Windows, который отвечает за обработку встраиваемых объектов, содержится уязвимость, позволяющая загрузить .INF-файл с удаленного сервера и установить его в системе.
Эксплойт представляет из себя документ PowerPoint, который содержит в себе два объекта oleObject1.bin и oleObject2.bin. Каждый из этих файлов содержит ссылку на внешний IP-адрес. Один из них используется для загрузки .INF-файла, который будет использован для установки вредоносной программы, а второй содержит ссылку на саму вредоносную программу — дроппер BlackEnergy Lite [2] (Win32/Rootkit.BlackEnergy). Этот дроппер будет установлен в систему с помощью загруженного .INF-файла. Мы недавно писали [3] про вредоносную кампанию по распространению BlackEnergy Lite одной из хакерских групп, корни которой также уходят в Россию. В обоих случаях целями становятся страны НАТО.
Рис. Ссылка на .INF файл в oleObject2.bin.
Рис. Директория с OLE-объектами во вредоносном документе PowerPoint.
Рис. Тема презентации содержит отсылку к конфликту на Украине.
Рис. Формат скачиваемого .INF-файла, который используется для установки вредоносной программы. Уязвимость позволяет загрузить оба этих файла с сервера злоумышленников.
Уязвимыми являются up-to-date версии Windows 7, новейшие Windows 8 & 8,1, а также RT. Компания Microsoft обещает закрыть эту уязвимость уже сегодня в рамках ежемесячного patch tuesday.
Автор: esetnod32
Источник [4]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/71612
Ссылки в тексте:
[1] сообщили: http://www.isightpartners.com/2014/10/cve-2014-4114/
[2] BlackEnergy Lite: https://www.virustotal.com/ru/file/0fda6c118fb7dc946440cb9225e32ab1825d87d4f088bb75a6eab7cef35433bc/analysis/
[3] писали: http://habrahabr.ru/company/eset/blog/239001/
[4] Источник: http://habrahabr.ru/post/240345/
Нажмите здесь для печати.