安全研究

威胁情报
Windows OLE远程代码执行漏洞(CVE-2014-4114) (Alert2014-09)

发布日期:2014-10-15

描述:

CVE ID:CVE-2014-4114
受影响的软件及系统:
====================
Microsoft Windows Vista
  Microsoft Windows Server 2008
  Microsoft Windows 7
  Microsoft Windows Server 2008 R2  
  Microsoft Windows 8
  Microsoft Windows 8.1
  Microsoft Windows RT
  Microsoft Windows RT 8.1
未受影响的软件及系统:
======================
Microsoft Windows XP
综述:
======
Windows OLE组件功能中存在一个漏洞,如果用户打开包含特制 OLE 对象的文件,该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。此漏洞已经在某些APT攻击中被利用。
微软已经在MS14-060中修复了此安全漏洞,强烈建议受影响的用户及时升级最新的安全补丁。
分析:
======
OLE(对象链接与嵌入)是一种允许应用程序共享数据和功能的技术,Microsoft Office文档可以使用OLE对象。
INF文件是Windows的安装信息文件,里面包含需要下载并安装的软件信息。
Office文档(例如PowerPoint文件,后缀为.pptx/.ppt/.pps/.ppsx)被打开时,其中的某些特制的OLE对象可加载并执行远程INF文件,这导致INF文件中设定的远程恶意可执行程序被下载,然后通过操作注册表,从而进一步执行该恶意文件。
远程攻击者可能利用此漏洞通过诱使用户打开恶意的Office文档,并控制用户系统。
此漏洞可能通过各种使用OLE组件的文档进行利用。目前已知的利用方式是通过PowerPoint文件,特别是.pps和.ppsx这些可以自动播放的文件。
目前认为Windows XP操作系统不受此漏洞影响。

解决方法:

如果不能及时安装补丁,建议采用如下防护措施:
* 禁用Webclient服务。
  由于加载外部INF的方式是通过WEBDAV方式进行,所以禁用WEBDAV访问可以防止攻击。
  但这会导致所有依赖WEBDAV的功能失效。
  
  禁用方法:
  单击“开始”,单击“运行”(在Windows 8 和 8.1上按 Windows 徽标键 + S 打开搜索),
  键入“Services.msc”,然后单击“确定”。
  右键单击“WebClient”,然后选择“属性”。
  将“启动类型”更改为“已禁用”。如果服务正在运行,请单击“停止”。
  单击“确定”,然后退出服务管理控制台。
  
* 在边界网关上阻止对 TCP 端口 139 和 445的访问
厂商状态:
==========
厂商已在安全公告MS14-060中修复了此安全漏洞。我们建议用户开启自动更新服务以及时安装最新补丁。
厂商安全公告:
http://technet.microsoft.com/security/bulletin/MS14-060
附加信息:
==========
1. http://technet.microsoft.com/security/bulletin/MS14-060
2. http://www.nsfocus.net/index.php?act=alert&do=view&aid=151


浏览次数:

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

绿盟科技,巨人背后的专家
关 闭