Uwaga na lukę typu 0day w Windows!

Fundacja Bezpieczna Cyberprzestrzeń

CVE-2014-4114Uwaga na lukę typu 0day (CVE-2014-4114) w Windows wykorzystywaną do ataków. Wśród ofiar ataków są również cele w Polsce.

Firma iSight opublikowała raport , w którym opisuje  grupę cyberprzestępców, pracującą prawdopodobnie na zlecenie Rosji, która to używa w swoich atakach błędu typu 0day, na który podatne są wszystkie wspierane wersje Windows. Przypisanie grupie rosyjskiego pochodzenia wynika z dwóch powodów: użycia języka rosyjskiego w plikach konfiguracyjnych oraz dobru ofiar. Wszystkie one są silnie związane z interesami Rosji.

Według iSight za atakami stoi kilka powiązanych grup szpiegowskich. Jedna z tych grup została nazwana „Sandworm” – po polsku czerw pustyni.

 

sand_worm_logotype-e1413241743641

 

Grupa obserwowana była od paru lat ale dopiero od września zaczęła za pomocą błędu typu 0day (CVE-2014-4114) infekować swoje ofiary. Aby przeprowadzić skuteczny atak wystarczy odpowiedni dokument, który zostanie otwarty przez nieostrożnego użytkownika – klasyka. Biblioteka packager.dll, która to odpowiada za mechanizm osadzania obiektów (OLE) umożliwi pobranie i wykonanie plików INF, także zewnętrznych źródeł.

Błąd jest poważny, wystarczy tylko otwarcie odpowiednio przygotowanego dokumentu, co umożliwia zdalne wykonanie dowolnego kodu na komputerze ofiary. Na atak podatne są wszystkie obecnie wspierane wersje Windows, od Vista SP2 po 8.1 oraz wersje serwerowe. Co ciekawe, na błąd nie jest podatny Windows XP. Wygląda na to, że błąd do tej pory znany był tylko jednej grupie przestępców, zapewne teraz będzie wykorzystywany przez innych atakujących dlatego zalecamy łatanie systemów.

Łaty Microsoft

Dziś Microsoft wypuści łaty, blokujące możliwość ataku. Zdecydowanie zalecamy ich instalację. Co prawda do tej pory ofiarami ataków było jedynie ściśle określone grono firm, osób i organizacji, powiązanych z interesami Rosji, jednak po ujawnieniu podatności można się spodziewać, że zostanie ona szybko wykorzystana przez wiele grup przestępczych do ataków skierowanych na wszystkich użytkowników internetu.

Wśród ujawnionych celów grupy zidentyfikowano jak możemy przeczytać na Zaufanatrzeciastrona.pl:

– uczestników szczytu NATO w grudniu 2013 (dokument omawiający dyplomację europejską)
– uczestników spotkania GlobSec poświęconego międzynarodowemu bezpieczeństwu w maju 2014 (dokument udający informację od organizatorów, CVE-2014-1761)
– polską firmę z sektora energetycznego (dokument na temat gazu łupkowego, CVE-2013-3906)
– francuską firmę telekomunikacyjną
– przedstawicieli rządu Ukrainy
– amerykańską instytucje edukacyjną, specjalizująca się w sprawach ukraińskich

 

Picture2

 

iSight monitoruje działalność Sandworm od końca 2013 roku lecz błąd podobno istnieje od 2006 roku.

 

Picture1

Źródło: http://www.isightpartners.com/2014/10/cve-2014-4114/
Źródło: Zaufanatrzeciastrona.pl

 

Powązane tematy:

BlackEnergy – nowa kampania uderza w Ukrainę i Polskę

 

Share Button