XecMail 不需要更新就可以偵測到此 APT
最近資安圈很不平靜,很多重大的漏洞一一被挖出來,包含之前在 HITCON Free Talk 介紹到的 Shellshock (直到現在還是很可怕) , 還有最近 Windows Local 提權,跟今天要分享的 CVE-2014-4114。我們在 10 月 17 號開始在發現很多變種 CVE-2014-4114 已經被用在攻擊台灣政府,以及各單位的 APT Email 中,而且目前掃毒軟體廠商還在悲劇狀態, 要請大家特別注意 !
這個漏洞只會發生在 PPSX 上(也可能在PPTX),利用了 package manager 可以用 INF 安裝東西的功能來實現植入惡意程式,細節請看 MS14-060。
可怕的是它利用的一個功能 ("Feature"),而不是什麼 Buffer overrun, 完全不用寫複雜的Shellcode,並可繞過目前資安防禦機制,且穩定又粗暴,可以直接執行任何程式,這是駭客最愛的,而且少數出現專打 Office 2007 之後的 Exploit 。目前 Taidoor 與 LStudio 兩群已經開始用在 APT Email 中,我們預計在半年內都會一直大流行。
