Dyskusja Krytyczna luka w Windows używana w atakach przez rosyjskich szpiegów !

15 Października 2014

Grupa cyberprzestępców, pracująca najprawdopodobniej dla Rosji, używa w swoich atakach błędu typu 0day, na który podatne są wszystkie wspierane wersje Windows. Wśród ofiar ataków jest również polska firma. Firma iSight opublikowała kilka godzin temu raport, w którym wskazuje, że grupa szpiegów, obserwowana od kilku lat i pracująca najwyraźniej dla rządu Federacji Rosyjskiej, zaczęła na początku września używać do infekowania swoich ofiar błędu typu 0day (CVE-2014-4114), na który podatne są wszystkie obecnie wspierane wersje Windows.

Dlaczego trzeba zaraz łatać systemy

Błąd, którego wykorzystanie zidentyfikowała firma, jest naprawdę poważny, ponieważ umożliwia zdalne wykonanie dowolnego kodu na komputerze ofiary i wystarczy do tego jedynie otwarcie odpowiednio spreparowanego dokumentu. Metod ataku może być więcej, ale do tej pory zidentyfikowano jedynie atak poprzez dokument Powerpoint. Co gorsza, na atak podatne są wszystkie obecnie wspierane wersje Windows, od Vista SP2 po 8.1 oraz wersje serwerowe. Co ciekawe, na błąd nie jest podatny Windows XP. Microsoft dzisiaj wypuści łaty, blokujące możliwość ataku. Zdecydowanie zalecamy jak najszybszą ich instalację. Co prawda do tej pory ofiarami ataków było jedynie ściśle określone grono firm, osób i organizacji, powiązanych z interesami Rosji, jednak po ujawnieniu podatności oraz publikacji łaty można się spodziewać, że zostanie ona szybko wykorzystana przez wiele grup przestępczych do ataków skierowanych na wszystkich użytkowników internetu.

Na czym polega błąd

Co ciekawe, błąd opisywany przez iSight wygląda na dość trywialny. Biblioteka packager.dll odpowiedzialna za mechanizm osadzania obiektów (OLE) umożliwia pobranie i wykonanie plików INF, w tym również z zewnętrznych, niezaufanych źródeł. Oznacza to, że do skutecznego ataku wystarczy odpowiednio spreparowany dokument oraz użytkownik, który postanowi go otworzyć. Błąd ten istniał prawdopodobnie od roku 2006, lecz jego pierwsze wykorzystanie zaobserwowano dopiero 3 września 2014. Wygląda również na to, że do tej pory znany był tylko jednej grupie przestępców.

Kim są atakujący i dlaczego Rosjanami

iSight informuje, że działania kilku powiązanych grup szpiegów obserwuje od roku 2009. Jedna z tych grup została nazwana „Sandworm” – po polsku czerw pustyni. Jest to nawiązanie do słynnych powieści Franka Herberta z Uniwersum Diuny. Nazwę tę wybrano, ponieważ atakujący w swojej infrastrukturze C&C wykorzystują często nazwy mocno powiązane z powieściami Herberta jak na przykład arrakis02, houseatreides94 oraz epsiloneridani0. Przypisanie grupie rosyjskiego pochodzenia wynika z dwóch powodów. Pierwszym jest użycie języka rosyjskiego w plikach konfiguracyjnych, lecz drugim, ważniejszym, jest dobór ofiar. Wszystkie one są silnie związane z interesami Rosji. Wśród ujawnionych celów grupy zidentyfikowano:

-uczestników szczytu NATO w grudniu 2013 (dokument omawiający dyplomację europejską)

-uczestników spotkania GlobSec poświęconego międzynarodowemu bezpieczeństwu w maju 2014 (dokument udający informację od organizatorów, CVE-2014-1761)

-polską firmę z sektora energetycznego (dokument na temat gazu łupkowego, CVE-2013-3906)

-francuską firmę telekomunikacyjną

-przedstawicieli rządu Ukrainy

-amerykańską instytucje edukacyjną, specjalizująca się w sprawach ukraińskich

W opisanych powyżej atakach używano błędów innych, niż opisany powyżej – firma nie ujawniła, kto był ofiarą najnowszej kampanii. Według opublikowanych informacji włamywaczy interesują dwie kategorie danych – dokumenty powiązane z działaniami Rosji, Ukrainy i krajów sąsiadujących oraz klucze SSL i certyfikaty używane do podpisywania kodu. Te drugie mogą być potencjalnie wykorzystane w późniejszych atakach.

Łatajcie

jeszcze dzisiaj Choć nie znajdujecie się na liście celów grupy Sandworm, pamiętajcie, by załatać swoje systemy jeszcze dzisiaj. Błąd zapewne będzie wykorzystywany przez innych atakujących jeszcze w tym tygodniu !

źródło : www.zaufanatrzeciastrona.pl