Uma nova vulnerabilidade crítica no sistema operacional Windows está sendo explorada em um número limitado de ataques contra alvos nos EUA e na Europa. A vulnerabilidade Microsoft Windows OLE Package Manager Remote Code Execution Vulnerability (CVE-2014-4114) permite que os atacantes incorporem arquivos Object Linking and Embedding (OLE) a partir de locais externos. A vulnerabilidade pode ser explorada para baixar e instalar malware no computador do alvo e parece ter sido usada por um grupo de ciberespionagem conhecido como Sandworm para entregar o Backdoor.Lancafdo.A (também conhecido como Black Energy) a organizações-alvo.
A vulnerabilidade afeta todas as versões do Windows, do Windows Vista Service Pack 2 até o Windows 8.1, incluindo o Windows Server 2008 e 2012. Ela está ligada à forma como o Windows lida com Object Linking and Embedding (OLE), uma tecnologia que permite que a rich data contida em um documento seja incorporada em outro, ou que o link para um arquivo seja incorporado em outro. O OLE geralmente é usado para incorporar conteúdo armazenado localmente, mas esta vulnerabilidade permite o download não solicitado e a execução de arquivos externos.
Exploração ativa a caminho
A vulnerabilidade foi divulgada pelo iSIGHT Partners, que afirma que a vulnerabilidade já havia sido explorada em um número pequeno de ataques de ciberespionagem contra a OTAN, várias organizações não especificadas do governo ucraniano, uma série de organizações governamentais da Europa ocidental, empresas do setor energético, empresas europeias de telecomunicações e uma organização acadêmica americana. De acordo com nossa telemetria, ataques utilizando essa carga vêm ocorrendo desde agosto. O iSight atribuiu esses ataques a um grupo de ameaça avançada persistente (APT), que chamou de Sandworm.
Até o momento, nos ataques, os indivíduos-alvo receberam um e-mail de spear phishing com um anexo de PowerPoint malicioso, que foi detectado pela Symantec como Trojan.Mdropper. O arquivo de PowerPoint contém dois documentos com OLE incorporado, contendo URLs. Se o usuário abrir o arquivo de PowerPoint, essas URLs são contatadas e dois arquivos são baixados, um .exe e um .inf, que instalarão o malware no computador. A Symantec detecta esse malware payload como Backdoor.Lancafdo.A.
Uma vez instalado no computador do alvo, esse backdoor permite que os atacantes baixem e instalem outros malwares. Ele também pode baixar atualizações para si mesmo, incluindo um componente que rouba informações.
As explorações atuais usam arquivos de PowerPoint, mas considerando-se a natureza da vulnerabilidade, é possível que essa exploração surja em outros tipos de arquivo do Office, como documentos de Word ou planilhas do Excel.
A Symantec considera esta uma vulnerabilidade crítica, uma vez que permite que os atacantes rodem códigos remotamente no computador do alvo. Ainda que tenha sido explorada de forma limitada até agora, é provável que outros grupos tentem se aproveitar dessa vulnerabilidade agora que sua existência se tornou pública.
Conselho para empresários e consumidores
A Symantec recomenda a todos os usuários de Windows afetados tomar as seguintes providências:
- Aplicar patches de segurança imediatamente, assim que a Microsoft torná-los disponíveis
- Certificar-se de que seu software de segurança esteja atualizado
- Exercer cautela ao abrir anexos de e-mail, especialmente os de origem desconhecida.
- Proteção Symantec
Clientes Symantec estão protegidos contra o malware usado nos ataques que exploram essa vulnerabilidade com as seguintes detecções.
Antivirus
Prevenções a intrusos
Atualização - 15 de Outubro de 2014
A Microsoft publicou um boletim de segurança que provê um patch para essa vulnerabilidade. A Symantec recomenda que todos os usuários executem o arquivo, publicado em Microsoft Security Bulletin MS14-060.