最近的資安事件頻傳,先有蘋果 iCloud 遭受有組織的網路攻擊,近日 Xecure Lab 發現有駭客利用微軟的漏洞對台灣的政府單位發動攻擊,一旦成功就可以在電腦中植入惡意程式,並遠端搖控電腦。
微軟在上週二所發布的例行性安全公告裡提到,其中由 iSights 所發現的零時差漏洞 CVE-2014-4114 將影響 Vista 之後所有版本的 Windows 作業系統與 Windows Server 2008 及 2012。根據資安公司趨勢科技調查顯示,一個俄羅斯的駭客團體已透過此一漏洞來發動攻擊活動(Sandworm),目標是竊取與攻擊北大西洋公約組織和歐盟等企業或重要人士的資料。前幾天,趨勢科技已在台灣接獲首例透過此漏洞的攻擊案例,呼籲企業及個人用戶小心防範。
此漏洞的詳細內容如下:
- 此漏洞存在於 Microsoft Windows 系統與伺服器當中的 OLE 封裝管理程式。
- OLE 封裝程式(packager)可下載並執行 INF 檔案。目前在所觀察到的案例中,尤其是在處理 Microsoft PowerPoint 檔案時,封裝程式可讓封裝的 OLE 物件參照任意外部非信任來源的檔案,如:INF 檔案。
- 當攻擊成功時,此漏洞可讓駭客從遠端執行任意程式碼。當開啟駭客製作的 Power Point 檔案之後,會下載一個INF檔惡意程式(被偵測為 INF_BLACKEN.A),並執行一支 BKDR_BLACKEN.A 後門程式,可讓駭客遠端遙控電腦進行不當行為。
趨勢科技指出,這種攻擊方式並不特別複雜,很有可能導致駭客們大量濫用,因此建議使用者盡快更新防毒軟體和修補 Windows 系統,也不要隨意點開來路不明的 Powerpoint 檔案。
另一家資安公司 Xecure Lab 則是認為,這款惡意程式的等級「非常恐怖」,不需要寫複雜的Shellcode,還能繞過目前資安防禦機制,且穩定又粗暴,可以直接執行任何程式,目前已經有駭客運用在 APT 電子郵件中,預計未來半年會大流行。
從 Xecure Lab 蒐集到的電子郵件來看,這些惡意信件都會利用時事相關的話題來包裝,例如參與佔中議題、地方選舉或防癌等主旨,建議收到類似內容的人不要開啟,也不要再轉寄給朋友。
資料來源:Xecure Lab、趨勢科技
> 老師ppt可能有毒,我可以不開嗎(≧▽≦)
主任,我ppt中毒了,可以不要開嘛XDD(你也來亂!?