关于Windows OLE组件存在远程代码执行高危漏洞的情况公告

2014-10-15 18:11:45

安全公告编号:CNTA-2014-0029

10月15日,CNVD收录了最新披露的Windows OLE远程代码执行漏洞(CNVD-2014-06717,对应CVE-2014-4114)。目前,官方已经提供了漏洞的修复补丁。攻击者可通过精心构造包含文件并诱使用户执行文件触发远程代码执行漏洞,进而控制用户操作系统主机。

一、漏洞情况分析

OLE(对象链接与嵌入)是一种允许应用程序共享数据和功能的技术,用来增强Windows应用程序之间相互协作性。Microsoft Office文档也可以使用OLE对象。Windows OLE组件功能中存在一个远程代码执行漏洞,漏洞产生的原因是某些特制的OLE对象可加载并执行远程INF文件,而INF文件是Windows的安装信息文件,里面包含需要下载并安装的软件信息,攻击者可通过INF文件中设定的远程恶意可执行程序进行下载,通过操作注册表信息,执行成功恶意文件。

进一步研究发现,通过构造一个特定的INF,让其修改Runonce注册表,重新启动即会加载同目录下面的目标文件,造成远程任意代码执行。由于漏洞的基本攻击原理是触发右键菜单的默认关联项,因此,攻击者可以不局限于通过INF来发起攻击,比如利用控制面板程序CPL或者其他可以右键操作能执行的都可以发起攻击,更高级的攻击则可以实现无需重启实时高权限执行代码的功能。CNVD对该漏洞的综合评级为“高危”。

目前,互联网上披露的攻击分析一般是通过各种使用OLE组件的文档发起攻击。例如:通过PowerPoint文件,特别是.pps和.ppsx这些可以自动播放的文件。用户打开攻击者精心构造的包含特定OLE 对象的文件,即可获得与当前登录用户相同的操作系统权限。根据国内外安全研究机构的分析和监测情况,该漏洞已经在互联网上一些APT攻击被利用。

二、漏洞影响范围

此漏洞影响除XP外的所有Windows系统,其中包括目前应用量最广的服务器系统Windows Server2008和Windows Server2012。部分受影响的软件及系统如下所示: 

Microsoft Windows Vista

Microsoft Windows Server 2008

Microsoft Windows 7

Microsoft Windows Server 2008 R2

Microsoft Windows 8

Microsoft Windows 8.1

Microsoft Windows RT

Microsoft Windows RT 8.1

此外,根据已经发现的恶意代码攻击情况看,该漏洞已经在8月份已经被黑客地下产业利用。

三、漏洞处置建议

微软公司发布了MS14-060公告,提供的漏洞安全补丁,建议受影响的用户及时升级最新的安全补丁:

http://technet.microsoft.com/security/bulletin/MS14-060

如果用户不能及时安装补丁,建议采用如下防护措施:

1、禁用Webclient服务即禁用WEBDAV访问,但这会导致所有依赖WEBDAV的功能失效。禁用方法如下:

1)单击“开始”,单击“运行”(在Windows 8 和 8.1上按 Windows 徽标键 + S 打开搜索),

2)键入“Services.msc”,然后单击“确定”。

3)右键单击“WebClient”,然后选择“属性”。

4)将“启动类型”更改为“已禁用”。如果服务正在运行,请单击“停止”。

单击“确定”,然后退出服务管理控制台。

2、同时在边界网关上阻止外部IP对 TCP 端口 139 和 445的访问。

3、建议不要打开不明来源的邮件附件和文档。

注:CNVD成员单位绿盟科技、安天公司提供了漏洞分析文档和研判支持。

参考链接:

1.http://www.isightpartners.com/2014/10/cve-2014-4114/

2.http://blog.vulnhunt.com/index.php/2014/10/14/cve-2014-4114_sandworm-apt-windows-ole-package-inf-arbitrary-code-execution/

3.http://www.nsfocus.net/index.php?act=alert&do=view&aid=151

4.https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf