影响全版本Windows：iSIGHT监控间谍活动发现Windows最新0day漏洞

admin

iSIGHT在俄罗斯网络间谍活动中发现影响全版本Windows系统的最新0day漏洞，漏洞编号为CVE-2014-4114，目前，微软正紧急为该漏洞制作补丁。

昨日，微软的合作者iSIGHT Partners宣布在针对北约，欧盟电信和能源部门的网络间谍战过程中发现一枚新的windows 0day漏洞，该漏洞影响目前微软全版本的系统其中包括目前应用量最广的服务器系统Windows Server2008和Windows Server2012。

间谍活动针对的目标

这场活动的目标有以下几个：

北约乌克兰政府组织西欧政府机构能源行业的企业（特别是波兰）欧洲电信公司美国学术团体

下图是该搭载漏洞的沙虫病毒的攻击方向：

0day是如何被揪出来的

iSIGHT Partners一直以来一直监控着各地各种网络间谍活动，针对不同的组织有着不同的团队进行跟踪。而关于这次的有关windows 0day的沙虫事件，iSIGHT Partners是从2013年下半年开始监控这支团队的，而最近，这支团队使用了多种渗透方式攻击了目标，这其中就使用了BlackEnergy软件，同时使用了两个已知的漏洞，也使用了一个0day漏洞，就这样，这个漏洞被iSIGHT Partners的人成功捕获。

关于漏洞的更多细节

通过iSIGHT Partners与微软的更多沟通，暂时能披露出来的漏洞信息如下：

1、该漏洞存在于OLE包管理器（OLE package manager）中，同时影响windows个人版和服务器版本，其中：

·影响全版本的从Vista SP2 到 Windows 8.1的个人操作系统

·影响Windows Server versions 2008 和 2012服务器系统

2、当成功利用该漏洞后，可允许执行远程命令

3、漏洞存在的原因主要是windows允许OLE packager (packager .dll)下载并执行一个INF文件。以至于当我们利用漏洞特别是打开一个PPT文件的时候，管理器（packagers ）允许OLE包管理对象（Package OLE object）执行任意命令，比如一个来自不受信任的地址的INF文件。

4、但是攻击者要想成功利用该漏洞也不是那么容易的，攻击者需要精心构造一个包含任意命令的存在该漏洞的文件，同时诱使目标成功执行这个文件才行，也就是说，漏洞并非通过直接性的RCE（远程命令执行）的方式，而是需要通过结合社工手段才可能触发该漏洞。