現行Windows OSのゼロデイ脆弱性「CVE-2014-4114」、諜報目的のサイバー攻撃に利用される

マイクロソフトは、2014年10月14日(現地時間)、サポート ライフサイクル中の Windows OS および Windows Server 2008・2012 に影響を与えるゼロデイ脆弱性の確認について公開しました。

影響を受けるバージョンは、以下のとおりとなります。

  • Windows Vista x64 Service Pack 2
  • Windows Vista Service Pack 2
  • Windows Server 2008 R2 x6 Service pack 1
  • Windows Server 2008 Services Pack 2
  • Windows Sever 2008 x64 Service Pack 2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 7 Service pack 1
  • Windows 7 x64 Service Pack 1
  • Windows 8 x64
  • Windows 8
  • Windows 8.1 x64
  • Windows 8.1
  • Windows RT
  • Windows RT 8.1

米国 の ITセキュリティ企業「iSIGHT Partners」のレポート(英語情報)によると、今回確認されたゼロデイ脆弱性「CVE-2014-4114」は、諜報活動を目的としたサイバー攻撃キャンペーンの一環として利用され、「Sandworm Team」と呼ばれる攻撃者たちにより実行されていました。問題の脆弱性は、2013年8月以来、主に不正な PowerPoint のファイルを介して利用されているとのことです。

問題のゼロデイ脆弱性の詳細は、以下のとおりとなります。

  • この脆弱性は、マイクロソフトの Windows および Server の OLEパッケージマネージャに存在。
  • OLE packager である “packager .dll” は、システム定義ファイル(拡張子INF)をダウンロードし実行することができます。問題のゼロデイ脆弱性では、特に PowerPoint のファイルに OLEオブジェクトが埋め込まれていた場合、“packager .dll” により、特別に細工された OLE オブジェクトが任意の外部ファイルを参照することができ、例えば、不確かな参照元からシステム定義ファイルなどを参照することが可能となります。
  • 問題のゼロデイ脆弱性が利用されると、攻撃者がリモートで任意のコードを実行することが可能となります。

マイクロソフトは、10月15日、「2014 年 10 月のマイクロソフト セキュリティ情報」においてこのゼロデイ脆弱性に対応する更新プログラムを公開しました。

トレンドマイクロは、一般ユーザおよび IT管理者ともに、公開されたセキュリティ更新プログラムを直ちにダウンロードし、適用することを強く推奨します。

弊社サーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のお客様は、以下のフィルタを適用することにより、問題のゼロデイ脆弱性を利用した攻撃から保護されます。

  • 1006290 – Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114)
  • 1006291 – Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114) – 1

トレンドマイクロでは、引き続きゼロデイ脆弱性「CVE-2014-4114」に関する脅威状況を監視し、随時、本ブログ上で報告致します。

参考記事:

  • MS Zero-Day Used in Attacks Against European Sectors, Industries
    by Trend Micro
  •  翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)