Europäische Unternehmen von Angriffen über Sandworm-Lücke betroffen

Originalartikel von Trend Micro

Eine Zero-Day Sicherheitslücke in allen Versionen von Microsoft Windows und Windows Server 2008 and 2012 ist von Exploits missbraucht und in Angriffen auf die NATO und einige europäische Wirtschaftsunternehmen genutzt worden. Microsoft hat gestern im Rahmen des Patch Tuesdays einen Patch (MS14-060) für die als Sandworm bekannte Sicherheitslücke (CVE-2014-4114) veröffentlicht.
Die Sicherheitslücke wurde als Teil einer Cyberspionage-Kampagne ausgenutzt, deren Hintermänner als Sandworm-Team bezeichnet werden. Wahrscheinlich wurde die Lücke seit 2013 ausgenutzt, vor allem über manipulierte Powerpoint-Dokumente. Eine tiefgehende Analyse von Sandworm umfasst der Trend Micro Blog. Mittlerweile ist bekannt, dass

  • die Sicherheitslücke im OLE Package Manager in Microsoft Windows und Server vorhanden ist,
  • der OLE Packager INF-Dateien herunterladen und ausführen kann.
  • Im Fall eines erfolgreichen Exploits kann ein Angreifer remote beliebigen Code ausführen.

Trend Micro Deep Security und Office Scan mit dem Intrusion Defense Firewall (IDF)-plugin schützt über die folgenden DPI-Regeln Nutzersysteme vor Bedrohungen:

  • 1006267 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2014-4126)
  • 1006268 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2014-4127)
  • 1006269 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2014-4128)
  • 1006270 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2014-4129)
  • 1006271 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2014-4130)
  • 1006282 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2014-4132)
  • 1006274 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2014-4133)
  • 1006279 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2014-4134)
  • 1006273 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2014-4138)
  • 1006283 – Microsoft Word And Office Web Apps Remote Code Execution Vulnerability (CVE-2014-4117)
  • 1000552 – Generic Cross Site Scripting(XSS) Prevention
  • 1006290 – Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114)
  • 1006291 – Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114) – 1

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.