栏目导航: 首页 > 漏洞预警 > Windows > 内容

Windows OLE远程代码执行漏洞(CVE-2014-4114)

www.hx99.net    时间: 2015-02-06    阅读: 次     整理: 华西安全网

发布日期:2014-10-15

CVE ID:CVE-2014-4114

受影响的软件及系统:
====================
Microsoft Windows Vista
  Microsoft Windows Server 2008
  Microsoft Windows 7
  Microsoft Windows Server 2008 R2  
  Microsoft Windows 8
  Microsoft Windows 8.1
  Microsoft Windows RT
  Microsoft Windows RT 8.1

未受影响的软件及系统:
======================
Microsoft Windows XP

综述:
======
Windows OLE组件功能中存在一个漏洞,如果用户打开包含特制 OLE 对象的文件,该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。此漏洞已经在某些APT攻击中被利用。

微软已经在MS14-060中修复了此安全漏洞,强烈建议受影响的用户及时升级最新的安全补丁。

分析:
======
OLE(对象链接与嵌入)是一种允许应用程序共享数据和功能的技术,Microsoft Office文档可以使用OLE对象。

INF文件是Windows的安装信息文件,里面包含需要下载并安装的软件信息。

Office文档(例如PowerPoint文件,后缀为.pptx/.ppt/.pps/.ppsx)被打开时,其中的某些特制的OLE对象可加载并执行远程INF文件,这导致INF文件中设定的远程恶意可执行程序被下载,然后通过操作注册表,从而进一步执行该恶意文件。

远程攻击者可能利用此漏洞通过诱使用户打开恶意的Office文档,并控制用户系统。

此漏洞可能通过各种使用OLE组件的文档进行利用。目前已知的利用方式是通过PowerPoint文件,特别是.pps和.ppsx这些可以自动播放的文件。

目前认为Windows XP操作系统不受此漏洞影响。

解决方法:
==========
如果不能及时安装补丁,建议采用如下防护措施:

* 禁用Webclient服务。

  由于加载外部INF的方式是通过WEBDAV方式进行,所以禁用WEBDAV访问可以防止攻击。
  但这会导致所有依赖WEBDAV的功能失效。
 
  禁用方法:

  单击“开始”,单击“运行”(在Windows 8 和 8.1上按 Windows 徽标键 + S 打开搜索),
  键入“Services.msc”,然后单击“确定”。
  右键单击“WebClient”,然后选择“属性”。
  将“启动类型”更改为“已禁用”。如果服务正在运行,请单击“停止”。
  单击“确定”,然后退出服务管理控制台。
 

* 在边界网关上阻止对 TCP 端口 139 和 445的访问

厂商状态:
==========
厂商已在安全公告MS14-060中修复了此安全漏洞。我们建议用户开启自动更新服务以及时安装最新补丁。

厂商安全公告:
http://technet.microsoft.com/security/bulletin/MS14-060

附加信息:
==========
1. http://technet.microsoft.com/security/bulletin/MS14-060
2. http://www.nsfocus.net/index.php?act=alert&do=view&aid=151

本文来源:华西安全网[http://www.hx99.net]
发表评论】【告诉QQ好友】【错误报告】【加入收藏】【关闭