Un bug su Microsoft Word consente di infettare qualsiasi PC, anche senza macro
Fancy Bear avrebbe scoperto come eseguire un exploit su Word sfruttando la tecnica DDE, senza quindi intervenire con le macro dell'applicazione
di Nino Grasso pubblicata il 13 Novembre 2017, alle 14:01 nel canale SicurezzaMicrosoftTrend Micro
Il gruppo di ricercatori e hacker avanzati Fancy Bear, che è collegato al governo russo, è riuscito ad usare attivamente un exploit su una tecnica che offre agli aggressori la possibilità di infettare computer in cui vengono visionati o modificati documenti Microsoft Office. Per chi non lo conoscesse, Fancy Bear è uno dei due gruppi che l'anno scorso avrebbero scardinato le difese delle reti del Democratic National Committee prima delle elezioni presidenziali americane.
Secondo quanto rivelato da Trend Micro, Fancy Bear avrebbe inviato un documento Word che sfrutta la feature Dynamic Data Exchange, che consente ad un file di eseguire un codice salvato su un altro file permettendo quindi alle applicazioni di mandare aggiornamenti in presenza di nuovi dati. Il file manomesso dal gruppo, chiamato IsisAttackInNewYork.docx, si collega ad un server di controllo per scaricare un primo pezzo del malware Seduploader, installandolo sul computer.
L'uso di DDE come potenziale tecnica di infezione non è nuovo, tuttavia l'argomento si è riacceso nelle ultime settimane dopo un articolo pubblicato da SensePost, in cui si legge della possibilità di utilizzare la feature per installare malware sfruttando Word, senza che gli antivirus possano far nulla. In seguito al nuovo report di Trend Micro su Fancy Bear, tuttavia, Microsoft ha rilasciato una nota in cui spiega le modalità per riconoscere l'exploit e proteggersi.
Il modo più semplice è evitarlo sul nascere, ovvero leggendo con attenzione gli avvisi che vengono riprodotti su schermo all'apertura di un nuovo documento. Prima che DDE possa essere utilizzata, infatti, appaiono su schermo schermate simili alle seguenti: se vengono richiesti permessi non così scontati è probabile che consentano l'installazione del malware, compromettendo il sistema.
Nel report di Microsoft vengono riportate anche le modifiche al Registro di Windows da attuare per disabilitare l'aggiornamento automatico dei dati da un file all'altro. Questa particolare tipologia di tecnica è stata attivamente utilizzata anche di recente per diffondere il ransomware Locky, ed ha la peculiarità di non richiedere l'uso di macro per poter installare software malevoli sul PC. Si tratta di un vettore che diventerà probabilmente molto diffuso in futuro, ed è quindi un bene prepararsi ed informarsi sulle modalità che si hanno a disposizione per difendersi.
La rivoluzione dei dati in tempo reale è in arrivo. Un assaggio a Confluent Current 2025
SAP Sapphire 2025: con Joule l'intelligenza artificiale guida app, dati e decisioni
Dalle radio a transistor ai Micro LED: il viaggio di Hisense da Qingdao al mondo intero
ASRock ammette i problemi del BIOS, ma pare che non si assumerà la responsabilità per le CPU danneggiate
Elon Musk annuncia i nuovi piani per la colonizzazione di Marte grazie a SpaceX Starship
Mafia: The Old Country in azione in un video commentato dagli sviluppatori
Pulizie automatiche e senza grovigli: Roborock QV 35A è oggi in sconto super, ecco come comprarlo a 474€
Cybersecurity: così CrowdStrike protegge l'AI Factory di NVIDIA
Rotterdam mette alla prova Artemis EF-12: prima imbarcazione elettrica per pattugliamento entra in servizio
MSI MPG X870I Edge TI WiFi: la motherboard ITX che si sente una E-ATX
Download.it salva FilePlanet: oltre 120.000 file storici del gaming tornano online
WhatsApp sta per introdurre gli username: addio al numero di telefono visibile
Successo per il primo test della PEC europea tra Aruba e Asseco
Cosa cambia con la partnership fra Pure Storage e Nutanix? Ce lo spiega Maciej Kranz, General Manager, Enterprise di Pure Storage
Sony abbandona la produzione interna degli smartphone: cosa cambia per gli utenti Xperia?
Il futuro degli aerei elettrici passa per il sodio: il MIT svela una fuel cell tre volte più efficiente delle batterie agli ioni di litio
Sentenza blocca i dazi di Trump: "Il Presidente ha superato i suoi poteri". Ma per poco
11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoUtente avvisato mezzo salvato...
Gli avvisi di sicurezza generati dalla procedura sono fin troppo chiari ed espliciti, chi prosegue nell'operazione o è un gran distratto oppure è profondamente convinto della universale bontà del genere umano.Comunque sia, grazie per la notizia.
[S]niente affatto. [/S]io uso spesso file collegati uno all'altro, per es un numero calcolato da una tabella excel viene riversato in un documentoi di word. quel msg mi appare continuamente, e ovviamente premo si, perchè i numeri devono essere aggiornati.
cmq l'articolo è molto poco chiaro. Al 2° msg (un exe) ovviamente rispondo no, ma sul primo che chiede se aggiornare i dati esterni, è normale premere si. Non è chiaro se i msg appaiono in sequenza, o a volte uno e a volte l'altro.
cmq l'articolo è molto poco chiaro. Al 2° msg (un exe) ovviamente rispondo no, ma sul primo che chiede se aggiornare i dati esterni, è normale premere si. Non è chiaro se i msg appaiono in sequenza, o a volte uno e a volte l'altro.
Comunque sia, grazie per la notizia.
tra i fan di M$ vale sempre la teoria che la colpa non é mai del codice, ma degli utenti
Fanno il loro mestiere, li capisco ma non li giustifico, sopratutto nel caso di [I]difensori d'ufficio[/I].
Più volte mi sono scagliato contro le manie di fare figate non richieste, praticamente inutili e potenzialmante pericolose, da parte di una società i cui prodotti si è di fatto costretti ad utilizzare per lavorare e non solo per giocare.
Mi chiedo che senso ha dare in pasto alle masse programmi di visualizzazione o anche gestione files utente, quindi essenzialmente operanti off-line e senza alcuna necessità di eseguire codice esterno addirittura dinamico, che invece sono dotati [U]come standard[/U] di queste possibilità, contrariamente ad ogni comune aspettativa.
Quei pochi che hanno bisogno specifico di features oltre le normali esigenze si dotino della versione estesa e se la paghino per il loro uso professionale, ma si eviti di dare alle masse strumenti dalle potenzialità così pericolose oltre che del tutto inaspettate.
La gran maggioranza ha bisogno di un utilizzo di base immediato, non ha bisogno di figate celebrative della grandezza di M$.
scusa hai ragione, non avevo capito il tuo post, che però è verbalmente un po' contorto
Il gruppo di ricercatori e hacker avanzati Fancy Bear, che è collegato al governo russo, è riuscito ad usare attivamente un exploit su una tecnica che offre agli aggressori la possibilità di infettare computer in cui vengono visionati o modificati documenti Microsoft Office...
Per chi non lo conoscesse, Fancy Bear è uno dei due gruppi che l'anno scorso avrebbero scardinato le difese delle reti del Democratic National Committee prima delle elezioni presidenziali americane.
Cioè non stiamo parlandi di 4 haker della domenica che scrivono codice tra colazione e pranzo, qui ci sono Haker Russi finanziati dal governo..
Non che questo sia giustificabile eh... ma qui siamo di fronte a gente che per lavoro fa questo, trovare falle e sfruttarle con competenze tecniche superiori...
Io e te questa falla non la troviamo...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".