2014年4月9日 星期三

注意 CVE-2014-1761 0day exploit 已經大量出現在台灣的APT攻擊

這幾年RTF exploit一值最好用的 apt email才料之一,從CVE-2010-3333到CVE-2012-0158一值以來穩定好觸發,而且容易上手,所以已經是駭客居家旅行必備的殺人兵器 !

這次要跟大家介紹主角是 CVE-2014-1761 是 RTF exploit, 目前還是0day exploit 因為沒有正式的修補程式出來, 屬於駭客快樂假期 !


http://technet.microsoft.com/en-us/security/advisory/2953095 漏洞影響的範圍有 MS-Word 2003,2010,2013 等版本,不過目前看到的樣本都是針對 MS-Word 2010, 在微軟 Microsoft Security Advisory (2953095)中, 我們可以知道這個漏洞是在約 2個星期前被公布 (3/24), 到上周約 4/2 我們才發現國外出現CVE-2014-1706 野外APT樣本, 處發很沒問題, 但是 ROP shellcode 不是針對繁中Office 2010, 所以台灣環境都處發不了, 約昨天(4/8)我們已經發現駭客改版這個樣本, 並換上可以在台灣攻擊的Shellcode, 只花了一個禮拜就完成飛彈改裝, 並且裝上台灣之寶 -- Taidoor !

XecScan系統收到熱心鄉民上傳

6fb4f156ddbf7f2eb678f30e8577910b      兩岸協議監督條例法制化議題彙整.doc (駭客都有在關心台灣,這個題目會不會選的太好)
3e31b13452c4712d8f4214ec6477314f     1030405違規停車通知單.doc

[廣告時間]: 
我們的APT惡意信件偵測系統 XecMail ,不用更新就可以直接偵測到此 0day, 請各位用戶沒事不用找我們 XD


重點整理:
  1. 這次漏洞叫做 CVE-2014-1761, 已經被大量用在APT信件中
  2. 你的 MS-Word 2010 是這次會被攻擊的版本 (Office 2003,2013的免驚)
  3. 目前沒有修補程式, 請期待微軟出, 不過微軟有提到暫時方案: 裝EMET (其實資安廠商都不敢告訴你這個微軟免費工具,其實超他媽強! exploit, shellcode都基本躺平, 裝了之後你家的廢材HIPS/AV可以移除了)

-----

PS: Xecure Lab 已經被國際大廠併購, 現在有了強大的資源挹注, 原團隊不但沒異動,而且還加入更多的資安專家, 共同對於資安研究而努力, 不但將能量行銷到國外, 更希望回饋給台灣資安圈. 我們對於台灣用戶服務不但不變,而且會更升級 ! 

Birdman