14.10.2014 | 09:27

Adam Haertle

Krytyczna luka w Windows używana w atakach przez rosyjskich szpiegów

Grupa cyberprzestępców, pracująca najprawdopodobniej dla Rosji, używa w swoich atakach błędu typu 0day, na który podatne są wszystkie wspierane wersje Windows. Wśród ofiar ataków jest również polska firma.

Firma iSight opublikowała kilka godzin temu raport, w którym wskazuje, że grupa szpiegów, obserwowana od kilku lat i pracująca najwyraźniej dla rządu Federacji Rosyjskiej, zaczęła na początku września używać do infekowania swoich ofiar błędu typu 0day (CVE-2014-4114), na który podatne są wszystkie obecnie wspierane wersje Windows.

Dlaczego trzeba zaraz łatać systemy

Błąd, którego wykorzystanie zidentyfikowała firma, jest naprawdę poważny, ponieważ umożliwia zdalne wykonanie dowolnego kodu na komputerze ofiary i wystarczy do tego jedynie otwarcie odpowiednio spreparowanego dokumentu. Metod ataku może być więcej, ale do tej pory zidentyfikowano jedynie atak poprzez dokument Powerpoint. Co gorsza, na atak podatne są wszystkie obecnie wspierane wersje Windows, od Vista SP2 po 8.1 oraz wersje serwerowe. Co ciekawe, na błąd nie jest podatny Windows XP.

Microsoft dzisiaj wypuści łaty, blokujące możliwość ataku. Zdecydowanie zalecamy jak najszybszą ich instalację. Co prawda do tej pory ofiarami ataków było jedynie ściśle określone grono firm, osób i organizacji, powiązanych z interesami Rosji, jednak po ujawnieniu podatności oraz publikacji łaty można się spodziewać, że zostanie ona szybko wykorzystana przez wiele grup przestępczych do ataków skierowanych na wszystkich użytkowników internetu.

Na czym polega błąd

Co ciekawe, błąd opisywany przez iSight wygląda na dość trywialny. Biblioteka packager.dll odpowiedzialna za mechanizm osadzania obiektów (OLE) umożliwia pobranie i wykonanie plików INF, w tym również z zewnętrznych, niezaufanych źródeł. Oznacza to, że do skutecznego ataku wystarczy odpowiednio spreparowany dokument oraz użytkownik, który postanowi go otworzyć. Błąd ten istniał prawdopodobnie od roku 2006, lecz jego pierwsze wykorzystanie zaobserwowano dopiero 3 września 2014. Wygląda również na to, że do tej pory znany był tylko jednej grupie przestępców.

Kim są atakujący i dlaczego Rosjanami

iSight informuje, że działania kilku powiązanych grup szpiegów obserwuje od roku 2009. Jedna z tych grup została nazwana „Sandworm” – po polsku czerw pustyni. Jest to nawiązanie do słynnych powieści Franka Herberta z Uniwersum Diuny. Nazwę tę wybrano, ponieważ atakujący w swojej infrastrukturze C&C wykorzystują często nazwy mocno powiązane z powieściami Herberta jak na przykład arrakis02, houseatreides94 oraz epsiloneridani0.

Przypisanie grupie rosyjskiego pochodzenia wynika z dwóch powodów. Pierwszym jest użycie języka rosyjskiego w plikach konfiguracyjnych, lecz drugim, ważniejszym, jest dobór ofiar. Wszystkie one są silnie związane z interesami Rosji.

Wśród ujawnionych celów grupy zidentyfikowano:

  • uczestników szczytu NATO w grudniu 2013 (dokument omawiający dyplomację europejską)
  • uczestników spotkania GlobSec poświęconego międzynarodowemu bezpieczeństwu w maju 2014 (dokument udający informację od organizatorów, CVE-2014-1761)
  • polską firmę z sektora energetycznego (dokument na temat gazu łupkowego, CVE-2013-3906)
  • francuską firmę telekomunikacyjną
  • przedstawicieli rządu Ukrainy
  • amerykańską instytucje edukacyjną, specjalizująca się w sprawach ukraińskich
Wizualizacja celów grupy (źródło: iSight)

Wizualizacja celów grupy (źródło: iSight)

W opisanych powyżej atakach używano błędów innych, niż opisany powyżej – firma nie ujawniła, kto był ofiarą najnowszej kampanii. Według opublikowanych informacji włamywaczy interesują dwie kategorie danych – dokumenty powiązane z działaniami Rosji, Ukrainy i krajów sąsiadujących oraz klucze SSL i certyfikaty używane do podpisywania kodu. Te drugie mogą być potencjalnie wykorzystane w późniejszych atakach.

Łatajcie jeszcze dzisiaj

Choć nie znajdujecie się na liście celów grupy Sandworm, pamiętajcie, by załatać swoje systemy jeszcze dzisiaj. Błąd zapewne będzie wykorzystywany przez innych atakujących jeszcze w tym tygodniu.

Źródła:

Powrót

Komentarze

  • 2014.10.14 11:17 maslan

    Powinni chyba w szkołach od małego uczyć „nie otwieraj nieznanych załączników”.

    A potem i tak pani sekretarka otworzy dokument z maila, który zawiera tonę błędów, i nie ma sensu.

    Odpowiedz
  • 2014.10.14 11:30 Marcin

    To jakaś dyskryminacja, żeby polską firmę atakować starym blędem z 2013 roku ?

    Odpowiedz
  • 2014.10.14 12:21 Zbigniew

    Usługa Windows update nie instaluje żadnych łatek czy aktualizacji…

    Odpowiedz
    • 2014.10.14 12:30 Adam

      Microsoft zapowiedział, że dzisiaj opublikuje aktualizacje.

      Odpowiedz
      • 2014.10.14 12:31 maslan

        A no to poczekamy do wieczora bo u nich jest inny czas ;)

        Odpowiedz
  • 2014.10.14 14:00 zero-gay

    Jest prawie 14:00, a Niebezpiecznik jeszcze o tym nie napisał? Znajomy ignorant nie będzie miał czym błyszczeć przed dyrektorem IT, bo tylko stamtąd czerpie wiadomości :-)

    Odpowiedz
  • 2014.10.14 14:17 Wojtek

    Ja skończyłem analizować próbkę i wygląda ciekawie:

    C:\Windows\System32\InfDefaultInstall.exe C:\Users\XYZ\AppData\Local\Temp\slides.ini ;-)

    Może uda mi się wrzucić analizę na bloga jak będę miał wolny moment.

    Odpowiedz
    • 2014.10.14 14:54 Draqun

      Podaj link. Może znajdę coś ciekawego u ciebie :).

      Odpowiedz
    • 2014.10.14 14:58 Adam

      O, Wojtek, nie wiedziałem nawet że masz bloga :) Daj znać jak będziesz pisał, bo zapowiada się ciekawie.

      Odpowiedz
  • 2014.10.14 15:08 Wojtek

    @Draqun: podeślij mi mejla
    @Adam: nie mam niestety czasu na jego update – jak widać :)

    Odpowiedz
    • 2014.10.14 16:21 steppe

      :D
      Brak czasu znakiem naszych czasów :)

      Odpowiedz
  • 2014.10.14 22:00 Franek

    Rozwiazanie jest banalne…. to sie chyba nazywa jakos tak na L a juz wiem Linuks

    Odpowiedz
    • 2014.10.15 09:10 maslan

      Czekaj czekaj, ostatnio słyszałem o czymś na S….. eeee to chyba się nazywało shellshock

      Odpowiedz
  • 2014.10.16 00:12 Dominik

    https://www.cybsecurity.org/uwaga-na-luke-typu-0day-w-windows/
    Hmm. Nie podaliście tego jako źródła, ale wydaje mi się, że lista celów jest słowo w słowo zerżnięta z powyższej strony.

    Odpowiedz
    • 2014.10.16 00:15 Dominik

      Chodzi o kolejność. Przypadek? Nie sądzę.

      Odpowiedz
    • 2014.10.16 07:21 Adam

      Dominik, bardzo śmieszne. Czyli Twoim zdaniem jeśli A=B to znaczy, że A skopiowało z B, ale już nie że B skopiowało z A?
      PS. Artykuł na Cybsecurity pojawił się wiele godzin po naszym.

      Odpowiedz
    • 2014.10.18 01:14 wxwwwdw

      A na ich stronie: ” Źródło: Zaufanatrzeciastrona.pl” brawo.

      Odpowiedz
  • 2014.10.20 14:44 weteran

    firmy prywatne podobnie jak komputery rządowe i banki nie posiadają najnowszych zabezpieczeń w tym system operacyjny zapora ogniowa i antywirus z najdokładniejszym i skutecznym wykrywaniem zagrożeń oprócz tego ludzie odpowiedzialni za kontrole bezpieczeństwa komputerów i bankomatów nie aktualizują na bieżąco oprogramowania w tym systemów operacyjnych zapewnienie maksimum bezpieczeństwa informacji wraz z prywatnością wymaga stałej obserwacji specjalistów od zabezpieczeń

    Odpowiedz

Zostaw odpowiedź do Draqun

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Krytyczna luka w Windows używana w atakach przez rosyjskich szpiegów

Komentarze