Πληροφορίες σχετικά με το Sandworm - Η ευπάθεια Microsoft Windows OLE Package Manager Remote Code Execution (CVE-2014-4114)

Το παρόν άρθρο παρέχει περισσότερες πληροφορίες σχετικά με την ευπάθεια στα Microsoft Windows, η οποία ενδεχομένως να επιτρέψει την εκτέλεση του Remote Code Execution.

Το iSIGHT δημοσίευσε πληροφορίες σχετικά με μια προηγουμένως άγνωστη ευπάθεια στα Microsoft Windows, η οποία έχει χρησιμοποιηθεί σε πολύ περιορισμένες στοχευμένες επιθέσεις από τις 3 Σεπτεμβρίου 2014.

Τι είναι το Sandworm;

Πληροφορίες σχετικά με το Sandworm - Η ευπάθεια Microsoft Windows OLE Package Manager Remote Code Execution (CVE-2014-4114) επιτρέπει στους επιτιθέμενους να ενσωματώσουν αρχεία Σύνδεσης και ενσωμάτωσης αντικειμένων (OLE) από εξωτερικές τοποθεσίες. Είναι δυνατή η εκμετάλλευση της ευπάθειας για τη λήψη και την εγκατάστασης malware στον υπολογιστή του χρήστη προορισμού. Φαίνεται ότι η ευπάθεια χρησιμοποιήθηκε από μια ομάδα κατασκόπων του κυβερνοχώρου με την ονομασία Sandworm για τη μόλυνση στοχευμένων επιχειρήσεων με το Backdoor.Lancafdo.A (το οποίο είναι γνωστό και ως ιός κερκόπορτας Black Energy). Για περισσότερες πληροφορίες, ανατρέξτε στο στοιχείο Ανακοίνωση iSIGHT.

Τι κάνει το Sandworm;

Η ευπάθεια επηρεάζει όλες τις εκδόσεις του λειτουργικού συστήματος Windows, από τα Windows Vista (Service Pack 2) έως τα Windows 8.1, καθώς και τις εκδόσεις 2008 και 2012 του Windows Server. Σχετίζεται με τον τρόπο που τα Windows χειρίζονται τη Σύνδεση και ενσωμάτωση αντικειμένων (OLE), μια τεχνολογία της Microsoft που επιτρέπει την ενσωμάτωση εμπλουτισμένων δεδομένων από ένα έγγραφο σε ένα άλλο ή την ενσωμάτωση ενός συνδέσμου εγγράφου σε ένα άλλο. Η τεχνολογία OLE χρησιμοποιείται σε γενικές γραμμές για την ενσωμάτωση περιεχομένου που είναι αποθηκευμένο τοπικά, εντούτοις η συγκεκριμένη ευπάθεια επιτρέπει την χωρίς προειδοποίηση λήψη και εκτέλεση εξωτερικών αρχείων.

Στις επιθέσεις που έχουν πραγματοποιηθεί έως τώρα, τα άτομα που γίνονται στόχος της επίθεσης λαμβάνουν ένα email στοχευμένου phishing με κακόβουλο συνημμένο αρχείου PowerPoint, το οποίο η Symantec έχει ταυτοποιήσει ως Trojan.Mdropper. Το αρχείο PowerPoint περιέχει δύο ενσωματωμένα έγγραφα OLE με διευθύνσεις URL. Αν ο χρήστης ανοίξει το αρχείο PowerPoint, πραγματοποιείται επικοινωνία με τις εν λόγω διευθύνσεις URL και λήψη των δύο αρχείων, ενός αρχείου .exe και ενός .inf, τα οποία με τη σειρά τους εγκαθιστούν malware στον υπολογιστή. Η Symantec ταυτοποιεί το εν λόγω ωφέλιμο φορτίο malware ως Backdoor.Lancafdo.A. Μετά την εγκατάσταση στον υπολογιστή του χρήστη, ο συγκεκριμένος ιός κερκόπορτας επιτρέπει στους επιτιθέμενους να πραγματοποιήσουν λήψη και εγκατάσταση άλλων προγραμμάτων malware. Το malware ενδεχομένως να πραγματοποιήσει λήψη ενημερώσεων για το λογισμικό αυτό καθαυτό, οι οποίες περιλαμβάνουν ένα στοιχείο κλοπής πληροφοριών. Για περισσότερες πληροφορίες, ανατρέξτε στο Ιστολόγιο Symantec Security Response.

Σε τι είδους ενέργειες πρέπει να προβώ;

  1. Η Microsoft έχει εκδώσει μια ενημέρωση κώδικα για όλα τα λειτουργικά συστήματα Windows που έχουν προσβληθεί από τη συγκεκριμένη ευπάθεια. Αν έχετε ρυθμίσει τις παραμέτρους ώστε να λαμβάνετε αυτόματες ενημερώσεις από τη Microsoft, θα πραγματοποιηθεί αυτόματη λήψη και εγκατάσταση της ενημέρωσης κώδικα. Εντούτοις, αν έχετε απενεργοποιήσει τις αυτόματες ενημερώσεις, συνιστάται να εκτελείτε το Windows Update όσο το δυνατόν συχνότερα. Για να μάθετε περισσότερες πληροφορίες σχετικά με την Ενημέρωση ασφαλείας, ανατρέξτε στην ενότητα Ανακοίνωση ασφαλείας της Microsoft MS14-060.

  2. Όλα τα προϊόντα ασφαλείας Norton (συμπεριλαμβανομένων των Norton AntiVirus, Norton Internet Security, Norton 360, Norton Security, Norton Security με Backup και Norton Security Suite) περιέχουν πολλαπλά επίπεδα άμυνας ενάντια σε απόπειρες εκμετάλλευσης σφαλμάτων (ευπαθειών) όπως το Sandworm.

    Πρέπει να διαθέτετε τρέχουσα συνδρομή Norton και ενημερωμένους ορισμούς και υπογραφές για ιούς για να λάβετε τη συγκεκριμένη προστασία.

    Η Προστασία Norton αξιοποιεί τη μηχανή προστασίας από ιούς και τη μηχανή αποτροπής εισβολών για την επίτευξη προστασίας με τις παρακάτω ενημερώσεις υπογραφών:

    Πρόγραμμα προστασίας από ιούς:

    Πρόληψη εισβολής:

    • Επίθεση: Λήψη κακόβουλου αρχείου

Η Symantec δεν φέρει ευθύνη για την αξιοπιστία των δεδομένων, των απόψεων, των συμβουλών ή των δηλώσεων που πραγματοποιούνται σε τοποθεσίες τρίτων μερών. Η Symantec παρέχει αυτές τις συνδέσεις μόνο για λόγους ευκολίας. Η παροχή αυτών των συνδέσεων δεν υποδηλώνει ότι η Symantec συμμερίζεται, συνιστά ή αποδέχεται οποιαδήποτε ευθύνη για το περιεχόμενο αυτών των τοποθεσιών.

Περισσότερες πληροφορίες

Επισκεφτείτε τη σελίδα υποστήριξης για κατάργηση απειλών για περισσότερες λύσεις

Σας ευχαριστούμε!

Ευχαριστούμε που χρησιμοποιήσατε την υποστήριξη Norton.

< Επιστροφή

Ήταν χρήσιμες αυτές οι πληροφορίες;

DOCID: v102743206_EndUserProfile_el_el
Λειτουργικό σύστημα: Windows 8, Windows 7, Windows Vista
Τελευταία τροποποίηση: 14/10/2014