Windows任意代码执行0day(CVE-2014-4114)分析报告

明天发布补丁的windows 所有平台都可以触发的 OLE包管理INF 任意代码执行漏洞,CVE-2014-4114。该漏洞影响win vista,win7等以上操作系统,利用微软文档就可以触发该漏洞,而且该漏洞为逻辑漏洞 ,很容易利用成功。 当前样本已经扩散且容易改造被黑客二次利用。 预计微软补丁今晚凌晨才能出来,翰海源提醒用户在此期间注意不要打开陌生人发送的office文档。

该漏洞最先是从iSIGHT Partners厂商发布的公告上宣称发现了新的0day用于俄罗斯用在搞北约的APT攻击中,并命名SandWorm。

iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign

样本为PPS 类型,打开之后自动播放直接触发利用成功。

从virustotal的链接来看,样本第一次的提交时间是在8月13号,已经在外面漂泊起码2个月以上,

Virustotal

样本一开始在virustotal上面所有的杀毒软件都检测不到,

该漏洞本身的载体文件无需任何shellcode、内嵌木马,若只基于检测这些点的扫描引擎、安全设备则无能为力。从这里也可以看出单纯的杀毒软件防护无法阻止高级威胁的0day样本攻击,必须从整个攻击的生命周期进行检测。 世界上只有10种人,一种是知道自己被黑了,一种是不知道自己被黑了。

当然了,加特征还是可以的,比如2个小时左右,这不国内的2家死对头公司纷纷更新了规则,成了榜上的一对好基友,不过这个Generic总觉得哪里不对啊。

攻击样本解压之后可以看到embeddingsoleObject2.bin只包含一串webdav的路径 该路径为触发的核心

embeddingsoleObject1.bin 包含了具体马的路径

当前这个地址还是活的,不过只能通过vpn去连接,可以下载到里面的一些其他攻击文件

经过初步分析,该漏洞在加载OLE PACKAGE时,当遇到inf时,去调用 C:WindowsSystem32InfDefaultInstall.exe 去执行下载下来的inf文件。构造一个特定的inf,让其加载同目录文件,从而造成了远程任意代码执行。

该漏洞的利用可以结合7月28号 麦咖啡发的一篇blog

Dropping Files Into Temp Folder Raises Security Concerns

一起看。上面介绍到了一个rtf样本利用package activex control,在打开这个rtf文件时,会在当前用户的临时目录下创建任意名称指定内容的文件。麦咖啡也提到了这可能是一个潜在的风险,特定情况下会造成恶意代码的加载执行。

如果能随机化这个路径名,那么此次0day攻击中的样本通过inf的方式也比较难利用。

翰海源星云V2多维度威胁检测系统靠多个维度来检测高级威胁,此次攻击中虽然攻击样本本身很难检测到,但是其一系列的后续执行星云都可以检测到。如此次攻击中的slide1.gif 木马,星云系统的沙箱无需任何更新及可以检测到。

同时该样本的攻击方式中也会命中星云系统的另一个检测算法(高级攻击中常用的,暂不透露啦)

同时翰海源安全团队也及时响应,发布了星云对该CVE的NDAY检测规则,该漏的的利用方式的样本通过该升级包升级之后也可以直接检测到。