ブログトップ記事一覧ログイン無料ブログ開設

piyolog

2014-10-15

Windows OLEの脆弱性（CVE-2014-4114）関連情報をまとめてみた

脆弱性まとめ | 00:58 |

iSight Partnersが調査を行ったサイバーエスピオナージで未修正のWindowsの脆弱性が悪用されていたことが判明し、Microsoftとの調整を経て同社は2014年10月14日(現地時間)にこの活動に関する情報を発表しました。ここでは脆弱性、及びそれを悪用する活動に関連する情報をまとめます。

脆弱識別情報

CVE-2014-4114

発見者

iSIGHT Partners
- iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign
- (PDF) Russian Cyber Espionage Campaign - Sandworm Team Microsoft Windows Zero-day – Targeting NATO, EU, Telecom and Energy Sectors CVE – 2014 - 4114

発見日

2014年9月3日

影響を受けるWindows

サポート中のWindows OS全てが影響を受けるとiSIGHT Partnersは報告。

Windows Vista x64 Service Pack 2
Windows Vista Service Pack 2
Windows Server 2008 R2 x6 Service pack 1
Windows Server 2008 Services Pack 2
Windows Sever 2008 x64 Service Pack 2
Windows Server 2012
Windows Server 2012 R2
Windows 7 Service pack 1
Windows 7 x64 Service Pack 1
Windows 8 x64
Windows 8
Windows 8.1 x64
Windows 8.1
Windows RT
Windows RT 8.1

対策

2014年10月14日(日本時間)時点で修正プログラムは公開されていない。(ゼロデイ)
2014年10月15日未明(日本時間)公開の更新プログラム MS14-060で修正される予定。

回避策

iSIGHT Partnersは以下3つの回避策を紹介している。
- WebClientサービスの無効化
- TCP 139/445ポートの遮断
- セットアップ情報ファイル(.inf)経由での実行ファイルの起動抑止

CVE-2014-4114を悪用するサイバーエスピナオージ

組織名称

SandWorm Team
- iSIGHT Partnersが命名
- iSIGHT Partnersが監視しているロシア系組織5つの内の1つ。
- 2009年からの活動を確認

関連情報

Malware BlackEnegyに関する調査

iSIGHT Partnersが確認した標的組織

NATO
ウクラナイナ政府組織
フランスの通信関係組織
ポーランドのエネルギー関係組織
ポーランドの政府組織
西欧の政府組織
アメリカの学術関係組織

サンプル検体

File	Type	Hash	Sandbox Analysis
spiski_deputatov_done.ppsx	Exploit (CVE-2014-4114)	70b8d220469c8071029795d32ea91829f683e3fbbaa8b978a31a0974daee8aaf	Malwr
slide1.exe (slide1.gif)	Payload	0fda6c118fb7dc946440cb9225e32ab1825d87d4f088bb75a6eab7cef35433bc	Malwr ThreatExpert
slides.inf	-	-	-

更新履歴

2014/10/15 AM 新規作成