Windows任意代碼執(zhí)行0day(CVE-2014-4114)分析報告

作者：翰海源安全 2014-10-15 17:29:33

明天發(fā)布補(bǔ)丁的windows 所有平臺都可以觸發(fā)的OLE包管理INF 任意代碼執(zhí)行漏洞，CVE-2014-4114。該漏洞影響win vista,win7等以上操作系統(tǒng)，利用微軟文檔就可以觸發(fā)該漏洞，而且該漏洞為邏輯漏洞，很容易利用成功。

明天發(fā)布補(bǔ)丁的windows 所有平臺都可以觸發(fā)的OLE包管理INF 任意代碼執(zhí)行漏洞，CVE-2014-4114。該漏洞影響win vista,win7等以上操作系統(tǒng)，利用微軟文檔就可以觸發(fā)該漏洞，而且該漏洞為邏輯漏洞，很容易利用成功。當(dāng)前樣本已經(jīng)擴(kuò)散且容易改造被黑客二次利用。預(yù)計(jì)微軟補(bǔ)丁今晚凌晨才能出來，翰海源提醒用戶在此期間注意不要打開陌生人發(fā)送的office文檔。

該漏洞最先是從iSIGHT Partners廠商發(fā)布的公告上宣稱發(fā)現(xiàn)了新的0day用于俄羅斯用在搞北約的APT攻擊中，并命名SandWorm。

iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign。

樣本為PPS 類型，打開之后自動播放直接觸發(fā)利用成功。

從virustotal的鏈接來看，樣本第一次的提交時間是在8月13號，已經(jīng)在外面漂泊起碼2個月以上，

Virustotal

樣本一開始在virustotal上面所有的殺毒軟件都檢測不到，

該漏洞本身的載體文件無需任何shellcode、內(nèi)嵌木馬，若只基于檢測這些點(diǎn)的掃描引擎、安全設(shè)備則無能為力。從這里也可以看出單純的殺毒軟件防護(hù)無法阻止高級威脅的0day樣本攻擊，必須從整個攻擊的生命周期進(jìn)行檢測。世界上只有10種人，一種是知道自己被黑了，一種是不知道自己被黑了。

當(dāng)然了，加特征還是可以的，比如2個小時左右，這不國內(nèi)的2家死對頭公司紛紛更新了規(guī)則，成了榜上的一對好基友，不過這個Generic總覺得哪里不對啊。