Windows任意代码执行0day(CVE-2014-4114)分析报告

安全 漏洞
明天发布补丁的windows 所有平台都可以触发的OLE包管理INF 任意代码执行漏洞,CVE-2014-4114。该漏洞影响win vista,win7等以上操作系统,利用微软文档就可以触发该漏洞,而且该漏洞为逻辑漏洞,很容易利用成功。

明天发布补丁的windows 所有平台都可以触发的OLE包管理INF 任意代码执行漏洞,CVE-2014-4114。该漏洞影响win vista,win7等以上操作系统,利用微软文档就可以触发该漏洞,而且该漏洞为逻辑漏洞,很容易利用成功。当前样本已经扩散且容易改造被黑客二次利用。预计微软补丁今晚凌晨才能出来,翰海源提醒用户在此期间注意不要打开陌生人发送的office文档。

该漏洞最先是从iSIGHT Partners厂商发布的公告上宣称发现了新的0day用于俄罗斯用在搞北约的APT攻击中,并命名SandWorm。

iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign。

样本为PPS 类型,打开之后自动播放直接触发利用成功。

Windows任意代码执行0day(CVE-2014-4114)分析报告

从virustotal的链接来看,样本第一次的提交时间是在8月13号,已经在外面漂泊起码2个月以上,

Windows任意代码执行0day(CVE-2014-4114)分析报告

Virustotal

样本一开始在virustotal上面所有的杀毒软件都检测不到,

Windows任意代码执行0day(CVE-2014-4114)分析报告

该漏洞本身的载体文件无需任何shellcode、内嵌木马,若只基于检测这些点的扫描引擎、安全设备则无能为力。从这里也可以看出单纯的杀毒软件防护无法阻止高级威胁的0day样本攻击,必须从整个攻击的生命周期进行检测。世界上只有10种人,一种是知道自己被黑了,一种是不知道自己被黑了。

当然了,加特征还是可以的,比如2个小时左右,这不国内的2家死对头公司纷纷更新了规则,成了榜上的一对好基友,不过这个Generic总觉得哪里不对啊。

Windows任意代码执行0day(CVE-2014-4114)分析报告

攻击样本解压之后可以看到embeddings\oleObject2.bin只包含一串webdav的路径

该路径为触发的核心

Windows任意代码执行0day(CVE-2014-4114)分析报告

embeddings\oleObject1.bin 包含了具体马的路径

Windows任意代码执行0day(CVE-2014-4114)分析报告

当前这个地址还是活的,不过只能通过vpn去连接,可以下载到里面的一些其他攻击文件

Windows任意代码执行0day(CVE-2014-4114)分析报告

 

经过初步分析,该漏洞在加载OLE PACKAGE时,当遇到inf时,去调用

C:\Windows\System32\InfDefaultInstall.exe 去执行下载下来的inf文件。构造一个特定的inf,让其加载同目录文件,从而造成了远程任意代码执行。

Windows任意代码执行0day(CVE-2014-4114)分析报告

该漏洞的利用可以结合7月28号 麦咖啡发的一篇blog

Dropping Files Into Temp Folder Raises Security Concerns

一起看。上面介绍到了一个rtf样本利用package activex control,在打开这个rtf文件时,会在当前用户的临时目录下创建任意名称指定内容的文件。麦咖啡也提到了这可能是一个潜在的风险,特定情况下会造成恶意代码的加载执行。

如果能随机化这个路径名,那么此次0day攻击中的样本通过inf的方式也比较难利用。

翰海源星云V2多维度威胁检测系统靠多个维度来检测高级威胁,此次攻击中虽然攻击样本本身很难检测到,但是其一系列的后续执行星云都可以检测到。如此次攻击中的slide1.gif 木马,星云系统的沙箱无需任何更新及可以检测到。

Windows任意代码执行0day(CVE-2014-4114)分析报告

各位小伙伴可以查看文件B超上面的检测结果

https://www.b-chao.com/index.php/Index/show_detail/Sha1/61A6D618BB311395D0DB3A5699A1AB416A39D85B

Windows任意代码执行0day(CVE-2014-4114)分析报告

服务器上面其他的木马文件的检测结果 如 default.txt

https://www.b-chao.com/index.php/Index/show_detail/Sha1/4D4334FF0545717B3ADC165AB6748DCE82098D97

view.ph

https://www.b-chao.com/index.php/Index/show_detail/Sha1/118206D910F0036357B04C154DA8966BCCCD31B4

同时该样本的攻击方式中也会命中星云系统的另一个检测算法(高级攻击中常用的,暂不透露啦)

同时翰海源安全团队也及时响应,发布了星云对该CVE的NDAY检测规则,该漏的的利用方式的样本通过该升级包升级之后也可以直接检测到。

Windows任意代码执行0day(CVE-2014-4114)分析报告 

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2014-11-19 11:05:45

2011-08-26 11:44:01

2021-07-27 11:01:02

Windows

2021-09-10 11:41:20

漏洞Windows 微软

2020-12-17 10:28:27

漏洞网络攻击网络安全

2015-05-20 16:34:14

2015-07-14 10:53:19

Hacking Tea0Day漏洞

2013-05-23 10:48:14

EPATHOBJ 0d0day漏洞

2021-04-26 10:09:11

0Day漏洞Google Chro

2021-04-13 16:40:18

0Day漏洞远程代码

2015-07-08 10:35:17

2014-03-26 09:38:17

2009-07-06 13:15:07

2015-07-08 13:52:18

2009-09-09 08:54:50

2011-03-15 15:14:22

2021-10-06 13:48:50

0day漏洞攻击

2013-12-02 14:50:25

2013-05-06 15:15:23

2017-02-17 09:10:26

点赞
收藏

51CTO技术栈公众号