中午要陪海外客户吃饭,所以研究了一下大概,人家知道的咱不知道就落伍了。
1。Sandworm
安全公司iSight Partners发现一个蠕虫Sandworm,利用Windows OLE的0day漏洞(CVE-2014-4114),影响Vista、Windows 2008以及最新版本,与俄罗斯在北约的网络攻击活动相关,乌克兰和波兰也发现这个攻击。
技术上,是构造一个恶意的PowerPoint文件,用户打开后,通过OLE嵌套可以从远程的SMB共享文件夹下载一个.INF文件并安装。其他恶意木马都可以通过此方法被植入。
微软Patch Tuesday的补丁编号MS14-060。此0day已经被利用了两个月。利用起来很简单,严重级别为高。
参考链接:
http://www.bbc.co.uk/news/technology-29613247
http://blog.trendmicro.com/trendlabs-security-intelligence/an-analysis-of-windows-zero-day-vulnerability-cve-2014-4114-aka-sandworm/
http://blog.vulnhunt.com/index.php/2014/10/14/cve-2014-4114_sandworm-apt-windows-ole-package-inf-arbitrary-code-execution/
2。POODLE
POODLE是Padding Oracle On Downgraded Legacy Encryption的缩写,是Google工程师发现的SSLv3协议出的问题(CVE-2014-3566)。当用户和远程服务器使用SSLv3协议加密传输数据时,和用户在同一网络中的坏人截取到数据,能够利用块加密(CBC)的漏洞解出明文,造成信息泄露。严重级别不算很高。
SSLv3是很老的协议了,现在都是TLS,但是为了保持兼容,大部分浏览器都要支持SSLv3,以兼容只支持SSLv3的远程服务器,当TLS协商不成,会降级为SSLv3通信。就像中国人遇到日本人,我说中文,他听不懂,他说日文我也听不懂,最后协商结果是只能说英文,因为英文的兼容性好。
临时解决方法是禁用浏览器的SSLv3,微软表示会出补丁。
参考链接:
http://googleonlinesecurity.blogspot.com.au/2014/10/this-poodle-bites-exploiting-ssl-30.html
https://technet.microsoft.com/library/security/3009008
http://blog.cryptographyengineering.com/2014/10/attack-of-week-poodle.html
http://www.csoandy.com/files/dancing-poodles.html
https://www.imperialviolet.org/2014/10/14/poodle.html
https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/
http://blog.erratasec.com/2014/10/some-poodle-notes.html