Microsoft chiude falla 0-day sfruttata per l'installazione di spyware

Microsoft chiude falla 0-day sfruttata per l'installazione di spyware

All'interno delle patch rilasciate nell'usuale appuntamento mensile, risolta anche una vulnerabilità 0-day usata per installare software di sorveglianza e spionaggio

di Andrea Bai pubblicata il , alle 19:01 nel canale Sicurezza
Microsoft
 

Tra i vari problemi risolti dagli aggiornamenti rilasciati ieri nell''usuale appuntamento con il Patch Tuesday di Microsoft, vi è la chiusura di una falla 0-day che secondo i ricercatori di sicurezza di FireEye è stata sfruttata attivamente da uno Stato non rivelato per installare malware di sorveglianza su alcuni sistemi vulnerabili.

FireEye ha pubblicato un intervento sul proprio blog ufficiale dove dettaglia il problema. L'exploit è stato integrato in un documento Microsoft Word, che una volta aperto sfrutta una vulnerbilità 0-day del famework .Net di Microsoft. Tramite l'exploit si arriva all'installazione di FinSpy, una famiglia di software di sorveglianza che il suo controverso sviluppatore, la società britannica Gamma Group, vende ai governi del mondo.

La vulnerabilità .Net è presente nel parser che dovrebbe vagliare e scartare gli input dannosi presenti nel data fed dell'engine Web Service Description Language. L'exploit porta al download di una definizione formata in maniera artificiosa da un server controllato dall'attaccante, che viene compilata in una libreria di codice. Il codice va quindi a creare un nuovo processo che riceve lo script HTA, il quale a sua volta rimuove il codice sorgente e la libreria e scarica un file chiamato left.jpg che, nonostante l'estensione, è un eseguibile. Ed è a questo punto che viene installato il malware FinSpy che fa uso di un codice reso pesantemente incomprensibile e di una macchina virtuale integrata per nascondere le sue attività.

Secondo quanto dichiarato da FireEye, la vulnerabilità - archiviata con il codice CVE-2017-8759 - è stata scoperta circa cinque mesi dopo un'altra vulnerabilità 0-day usata anch'essa per la distribuzione di FinSpy. FireEye afferma che la vulnerabilità è stata usata per infettare un non meglio precisato bersaglio russo di interesse, ma considerando che FinSpy è stato venduto a numerosi clienti, la tecnica potrebbe essere stata usata anche contro altri bersagli.

Sul problema si è espressa anche Microsoft, pubblicando un intervento sul proprio blog affermando che gli hacker che hanno condotto l'attacco fanno parte del gruppo NEODYMIUM, che in precedenza aveva già usato vulnerabilità 0-day assieme ad allegati spear-phishing per installare lo spyware FinFisher.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^