安全公告編號:CNTA-2014-0029

10月15日，CNVD收錄了最新披露的Windows OLE遠程代碼執行漏洞（CNVD-2014-06717,對應CVE-2014-4114）。目前，官方已經提供了漏洞的修復補丁。攻擊者可通過精心構造包含文件并誘使用戶執行文件觸發遠程代碼執行漏洞，進而控制用戶操作系統主機。

一、漏洞情況分析

OLE（對象鏈接與嵌入）是一種允許應用程序共享數據和功能的技術，用來增強Windows應用程序之間相互協作性。Microsoft Office文檔也可以使用OLE對象。Windows OLE組件功能中存在一個遠程代碼執行漏洞，漏洞產生的原因是某些特制的OLE對象可加載并執行遠程INF文件，而INF文件是Windows的安裝信息文件，里面包含需要下載并安裝的軟件信息，攻擊者可通過INF文件中設定的遠程惡意可執行程序進行下載，通過操作注冊表信息，執行成功惡意文件。

進一步研究發現，通過構造一個特定的INF，讓其修改Runonce注冊表，重新啟動即會加載同目錄下面的目標文件，造成遠程任意代碼執行。由于漏洞的基本攻擊原理是觸發右鍵菜單的默認關聯項，因此，攻擊者可以不局限于通過INF來發起攻擊，比如利用控制面板程序CPL或者其他可以右鍵操作能執行的都可以發起攻擊，更高級的攻擊則可以實現無需重啟實時高權限執行代碼的功能。CNVD對該漏洞的綜合評級為“高危”。

目前，互聯網上披露的攻擊分析一般是通過各種使用OLE組件的文檔發起攻擊。例如：通過PowerPoint文件，特別是.pps和.ppsx這些可以自動播放的文件。用戶打開攻擊者精心構造的包含特定OLE 對象的文件，即可獲得與當前登錄用戶相同的操作系統權限。根據國內外安全研究機構的分析和監測情況，該漏洞已經在互聯網上一些APT攻擊被利用。

二、漏洞影響范圍

此漏洞影響除XP外的所有Windows系統，其中包括目前應用量最廣的服務器系統Windows Server2008和Windows Server2012。部分受影響的軟件及系統如下所示：?

Microsoft Windows Vista

Microsoft Windows Server 2008

Microsoft Windows 7

Microsoft Windows Server 2008 R2

Microsoft Windows 8

Microsoft Windows 8.1

Microsoft Windows RT

Microsoft Windows RT 8.1

此外，根據已經發現的惡意代碼攻擊情況看，該漏洞已經在8月份已經被黑客地下產業利用。

三、漏洞處置建議

微軟公司發布了MS14-060公告，提供的漏洞安全補丁，建議受影響的用戶及時升級最新的安全補?。?/p>

http://technet.microsoft.com/security/bulletin/MS14-060

如果用戶不能及時安裝補丁，建議采用如下防護措施:

1、禁用Webclient服務即禁用WEBDAV訪問，但這會導致所有依賴WEBDAV的功能失效。禁用方法如下：

1）單擊“開始”，單擊“運行”（在Windows 8 和 8.1上按 Windows 徽標鍵 + S 打開搜索），

2）鍵入“Services.msc”，然后單擊“確定”。

3）右鍵單擊“WebClient”，然后選擇“屬性”。

4）將“啟動類型”更改為“已禁用”。如果服務正在運行，請單擊“停止”。

單擊“確定”，然后退出服務管理控制臺。

2、同時在邊界網關上阻止外部IP對 TCP 端口 139 和 445的訪問。

3、建議不要打開不明來源的郵件附件和文檔。

注：CNVD成員單位綠盟科技、安天公司提供了漏洞分析文檔和研判支持。

參考鏈接：

1.http://www.isightpartners.com/2014/10/cve-2014-4114/

2.http://blog.vulnhunt.com/index.php/2014/10/14/cve-2014-4114_sandworm-apt-windows-ole-package-inf-arbitrary-code-execution/

3.http://www.nsfocus.net/index.php?act=alert&do=view&aid=151

4.https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf