近日名为“SANDWORM”的俄罗斯黑客组织被曝利用Windows最新0day漏洞(漏洞编号：CVE-2014-4114)针对北约、乌克兰政府组织、欧盟电信和能源部门等进行了APT网络间谍战。“SANDWORM” 利用Microsoft Office文档进行攻击，利用INF的OLE对象，去调用C:\Windows\System32\InfDefaultInstall.exe 执行下载的INF，而INF是经过特殊构造的，从而造成了远程任意代码执行。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。如果当前用户使用管理用户权限登录，则攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少用户权限的用户比具有管理用户权限的用户受到的影响要小。

该漏洞影响范围包括Windows全版本从Vista SP2 到 Windows 8.1，以及应用量最广的Windows Server2008和Windows Server2012服务器系统。

安恒信息建议在漏洞影响范围内的用户不要接收和打开来历不明的office文档，并尽快升级微软补丁进行修补;对于管理员、企业安装或者想要手动安装此安全更新的最终用户(包括未启用自动更新的客户)，建议使用更新管理软件立即应用此更新或者利用 Microsoft Update 服务检查更新。使用了安恒信息明御®APT攻击(网络战)预警平台的用户可以检测该漏洞攻击。

安恒信息一直在为用户检测到已知漏洞攻击和0day攻击，帮助用户发现真正的黑客攻击，使用户能从海量的日志中发现自己需要的日志信息，通过web、邮件、文件检测系统的配合检测，全方位的发现APT攻击。同时，我们提供高级分析服务，对于用户无法确定的攻击行为和攻击样本，可提供高级技术支持，协助用户对攻击进行分析，用以对抗高技术的黑客。

Windows补丁信息：

https://technet.microsoft.com/library/security/ms14-058

https://technet.microsoft.com/library/security/ms14-060

(责任编辑：冬天的宇)