主站

分类

漏洞 工具 极客 web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据库安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

影响全版本Windows:iSIGHT监控间谍活动发现Windows最新0day漏洞 金币
2014-10-15 00:05:21

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

iSIGHT在俄罗斯网络间谍活动中发现影响全版本Windows系统的最新0day漏洞,漏洞编号为CVE-2014-4114,目前,微软正紧急为该漏洞制作补丁。

昨日,微软的合作者iSIGHT Partners宣布在针对北约,欧盟电信和能源部门的网络间谍战过程中发现一枚新的windows 0day漏洞,该漏洞影响目前微软全版本的系统其中包括目前应用量最广的服务器系统Windows Server2008和Windows Server2012。

间谍活动针对的目标

这场活动的目标有以下几个:

北约
乌克兰政府组织
西欧政府机构
能源行业的企业(特别是波兰)
欧洲电信公司
美国学术团体

下图是该搭载漏洞的沙虫病毒的攻击方向:

0day是如何被揪出来的

iSIGHT Partners一直以来一直监控着各地各种网络间谍活动,针对不同的组织有着不同的团队进行跟踪。而关于这次的有关windows 0day的沙虫事件,iSIGHT Partners是从2013年下半年开始监控这支团队的,而最近,这支团队使用了多种渗透方式攻击了目标,这其中就使用了BlackEnergy软件,同时使用了两个已知的漏洞,也使用了一个0day漏洞,就这样,这个漏洞被iSIGHT Partners的人成功捕获。

关于漏洞的更多细节

通过iSIGHT Partners与微软的更多沟通,暂时能披露出来的漏洞信息如下:

1、该漏洞存在于OLE包管理器(OLE package manager)中,同时影响windows个人版和服务器版本,其中:

·影响全版本的从Vista SP2 到 Windows 8.1的个人操作系统

·影响Windows Server versions 2008 和 2012服务器系统

2、当成功利用该漏洞后,可允许执行远程命令

3、漏洞存在的原因主要是windows允许OLE packager (packager .dll)下载并执行一个INF文件。以至于当我们利用漏洞特别是打开一个PPT文件的时候,管理器(packagers )允许OLE包管理对象(Package OLE object)执行任意命令,比如一个来自不受信任的地址的INF文件。

4、但是攻击者要想成功利用该漏洞也不是那么容易的,攻击者需要精心构造一个包含任意命令的存在该漏洞的文件,同时诱使目标成功执行这个文件才行,也就是说,漏洞并非通过直接性的RCE(远程命令执行)的方式,而是需要通过结合社工手段才可能触发该漏洞。

更多信息

关于该0day的信息暂时只获取到现在这些,FreeBuf会对此事持续密切关注,为您带来更多更劲爆的一手消息。

[文/FreeBuf小编xia0k 参考文献:www.isightpartners.com 内容有删减 转载请注明FreeBuf.COM]

本文作者:, 转载请注明来自FreeBuf.COM

被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦