Microsoft sendte i går ut en større pakke med sikkerhetsoppdateringer som blant annet inneholder lappesaker mot en tidligere ukjent sårbarhet, en såkalt nulldagssårbarhet, i Windows.
Alle utgaver av Windows fra Vista (servicepakke 2) til og med nyeste Windows 8.1, samt serverutgavene 2008 og 2012 er berørt.
Angrep NATO
Sårbarheten skal helt siden 2009 ha vært utnyttet i en pågående hackerkampanje med angrep mot NATO, EU-land, Ukraina, europeiske teleselskaper og energisektoren.
Det opplyser det amerikanske IT-sikkerhetsselskapet iSight Partners, som etter å ha oppdaget forholdet har samarbeidet tett med Microsoft.
Russisk «sandorm»
iSight føler seg sikre på at angrepet stammer fra russiske hackere. De har indentifisert fem ulike grupperinger som utnytter såbarheten, som er gitt løpenummeret CVE-2014-4114.
Angrepskampanjen er døpt «Sandworm» etter funn av flere referanser til science fiction-klassikeren Dune i både skadevare og tilhørende URLer brukt av angripernes kommando- og kontrollservere.
Det er verdt å merke seg at navnet er misvisende. Skadevaren som er brukt er ingen dataorm. Snarere skal angriperne ha plantet trojanere på ofrenes pc-er.
En foretrukket metode, som iallfall én av de identifiserte grupperingene skal ha benyttet, er såkalt spearphishing, der ofrene får tilsendt vedlegg i epost med ondsinnet kode innebygget.
– Mange av tilfellene ser ut til å ha klare forbindelser til Ukrainas konflikt med Russland og til bredere russiske geopolitiske forhold. Nylig har gruppen brukt flere angrepsmetoder inkludert Black Energy-trojaneren, utnyttelse av to tidligere kjente sårbarheter på en gang, samt denne nyoppdagede nulldagssårbarheten i Windows, skriver iSight i kunngjøringen.
Forgiftede Powerpoint-filer er observert i flere av disse angrepene, som fremstår som svært målrettet.
Viktig – ikke kritisk
Microsoft har ikke utstyrt nevnte nulldagssårbarhet med sin høyeste sikkerhetsgradering, kritisk, som er forbehold tilfeller der en angriper kan skaffe seg systemprivilegier med angrep over et nettverk.
I feilfiksen de sendte ut tirsdag fremgår det at nivået er definert som “viktig“. Utnyttelse av feilen kan resultatere i kjøring av vilkårlig kode, ved at ofrene lures til å åpne Office-dokumenter med et spesielt utformet OLE-objekt (Object Linking and Embedding).
– Dersom brukeren (offeret) er pålogget med administrative rettigheter, så kan angriperen installere programmer, lese, endre og slette data, eller skape nye brukerkontoer med fulle rettigheter. Kunder med kontoer som er konfiguert med færre rettigheter på systemet er mindre utsatt enn de som opererer med administrator-rettigheter, opplyser Microsoft.
Leave a Reply