Un bug su Microsoft Word consente di infettare qualsiasi PC, anche senza macro

Un bug su Microsoft Word consente di infettare qualsiasi PC, anche senza macro

Fancy Bear avrebbe scoperto come eseguire un exploit su Word sfruttando la tecnica DDE, senza quindi intervenire con le macro dell'applicazione

di Nino Grasso pubblicata il , alle 14:01 nel canale Sicurezza
MicrosoftTrend Micro
 

Il gruppo di ricercatori e hacker avanzati Fancy Bear, che è collegato al governo russo, è riuscito ad usare attivamente un exploit su una tecnica che offre agli aggressori la possibilità di infettare computer in cui vengono visionati o modificati documenti Microsoft Office. Per chi non lo conoscesse, Fancy Bear è uno dei due gruppi che l'anno scorso avrebbero scardinato le difese delle reti del Democratic National Committee prima delle elezioni presidenziali americane.

Secondo quanto rivelato da Trend Micro, Fancy Bear avrebbe inviato un documento Word che sfrutta la feature Dynamic Data Exchange, che consente ad un file di eseguire un codice salvato su un altro file permettendo quindi alle applicazioni di mandare aggiornamenti in presenza di nuovi dati. Il file manomesso dal gruppo, chiamato IsisAttackInNewYork.docx, si collega ad un server di controllo per scaricare un primo pezzo del malware Seduploader, installandolo sul computer.

L'uso di DDE come potenziale tecnica di infezione non è nuovo, tuttavia l'argomento si è riacceso nelle ultime settimane dopo un articolo pubblicato da SensePost, in cui si legge della possibilità di utilizzare la feature per installare malware sfruttando Word, senza che gli antivirus possano far nulla. In seguito al nuovo report di Trend Micro su Fancy Bear, tuttavia, Microsoft ha rilasciato una nota in cui spiega le modalità per riconoscere l'exploit e proteggersi.

Il modo più semplice è evitarlo sul nascere, ovvero leggendo con attenzione gli avvisi che vengono riprodotti su schermo all'apertura di un nuovo documento. Prima che DDE possa essere utilizzata, infatti, appaiono su schermo schermate simili alle seguenti: se vengono richiesti permessi non così scontati è probabile che consentano l'installazione del malware, compromettendo il sistema.

Nel report di Microsoft vengono riportate anche le modifiche al Registro di Windows da attuare per disabilitare l'aggiornamento automatico dei dati da un file all'altro. Questa particolare tipologia di tecnica è stata attivamente utilizzata anche di recente per diffondere il ransomware Locky, ed ha la peculiarità di non richiedere l'uso di macro per poter installare software malevoli sul PC. Si tratta di un vettore che diventerà probabilmente molto diffuso in futuro, ed è quindi un bene prepararsi ed informarsi sulle modalità che si hanno a disposizione per difendersi.

11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
ancesurfer13 Novembre 2017, 14:40 #1

Utente avvisato mezzo salvato...

Gli avvisi di sicurezza generati dalla procedura sono fin troppo chiari ed espliciti, chi prosegue nell'operazione o è un gran distratto oppure è profondamente convinto della universale bontà del genere umano.
Comunque sia, grazie per la notizia.
cerbert13 Novembre 2017, 16:17 #2
A voler essere pignoli: nessuno dei due avvisi avverte di potenziali rischi di sicurezza.
inited13 Novembre 2017, 16:25 #3
No, non sono fin troppo chiari ed espliciti, per chi ha la necessaria conoscenza è così, ma gli utenti di questo tipo sono minoritari, particolarmente nel pubblico impiego dove questo tipo di vettori non trovano in simili avvisi alcuna forma di protezione. L'utente sa solo che deve ottenere quel che si aspetta, e quindi clicca conferme fino a che non smette di riceverne richiesta. Si tratta anche di una tipologia di utente refrattaria all'educazione alla sicurezza, e dato che l'utopia di un parco utenti informato e prudente non è la realtà, mentre invece lo è l'utenza ignara e imprudente, ci vuole uno sforzo maggiore di protezione e basta.
cerbert13 Novembre 2017, 16:54 #4
Mi sono accorto di aver letto male il post precedente. Concordo.
zappy13 Novembre 2017, 18:44 #5
Originariamente inviato da: inited
No, non sono fin troppo chiari ed espliciti, ...


[S]niente affatto. [/S]io uso spesso file collegati uno all'altro, per es un numero calcolato da una tabella excel viene riversato in un documentoi di word. quel msg mi appare continuamente, e ovviamente premo si, perchè i numeri devono essere aggiornati.
cmq l'articolo è molto poco chiaro. Al 2° msg (un exe) ovviamente rispondo no, ma sul primo che chiede se aggiornare i dati esterni, è normale premere si. Non è chiaro se i msg appaiono in sequenza, o a volte uno e a volte l'altro.
inited13 Novembre 2017, 19:27 #6
Originariamente inviato da: zappy
niente affatto. io uso spesso file collegati uno all'altro, per es un numero calcolato da una tabella excel viene riversato in un documentoi di word. quel msg mi appare continuamente, e ovviamente premo si, perchè i numeri devono essere aggiornati.
cmq l'articolo è molto poco chiaro. Al 2° msg (un exe) ovviamente rispondo no, ma sul primo che chiede se aggiornare i dati esterni, è normale premere si. Non è chiaro se i msg appaiono in sequenza, o a volte uno e a volte l'altro.
A me non è chiaro a cosa si riferisca quel "niente affatto", invece...
acerbo13 Novembre 2017, 22:03 #7
Originariamente inviato da: ancesurfer
Gli avvisi di sicurezza generati dalla procedura sono fin troppo chiari ed espliciti, chi prosegue nell'operazione o è un gran distratto oppure è profondamente convinto della universale bontà del genere umano.
Comunque sia, grazie per la notizia.


tra i fan di M$ vale sempre la teoria che la colpa non é mai del codice, ma degli utenti
rockroll14 Novembre 2017, 00:06 #8
Originariamente inviato da: acerbo
tra i fan di M$ vale sempre la teoria che la colpa non é mai del codice, ma degli utenti


Fanno il loro mestiere, li capisco ma non li giustifico, sopratutto nel caso di [I]difensori d'ufficio[/I].

Più volte mi sono scagliato contro le manie di fare figate non richieste, praticamente inutili e potenzialmante pericolose, da parte di una società i cui prodotti si è di fatto costretti ad utilizzare per lavorare e non solo per giocare.

Mi chiedo che senso ha dare in pasto alle masse programmi di visualizzazione o anche gestione files utente, quindi essenzialmente operanti off-line e senza alcuna necessità di eseguire codice esterno addirittura dinamico, che invece sono dotati [U]come standard[/U] di queste possibilità, contrariamente ad ogni comune aspettativa.
Quei pochi che hanno bisogno specifico di features oltre le normali esigenze si dotino della versione estesa e se la paghino per il loro uso professionale, ma si eviti di dare alle masse strumenti dalle potenzialità così pericolose oltre che del tutto inaspettate.
La gran maggioranza ha bisogno di un utilizzo di base immediato, non ha bisogno di figate celebrative della grandezza di M$.
zappy14 Novembre 2017, 10:27 #9
Originariamente inviato da: inited
A me non è chiaro a cosa si riferisca quel "niente affatto", invece...

scusa hai ragione, non avevo capito il tuo post, che però è verbalmente un po' contorto
Lampetto14 Novembre 2017, 10:37 #10
Originariamente inviato da: acerbo
tra i fan di M$ vale sempre la teoria che la colpa non é mai del codice, ma degli utenti


Il gruppo di ricercatori e hacker avanzati Fancy Bear, che è collegato al governo russo, è riuscito ad usare attivamente un exploit su una tecnica che offre agli aggressori la possibilità di infettare computer in cui vengono visionati o modificati documenti Microsoft Office...

Per chi non lo conoscesse, Fancy Bear è uno dei due gruppi che l'anno scorso avrebbero scardinato le difese delle reti del Democratic National Committee prima delle elezioni presidenziali americane.

Cioè non stiamo parlandi di 4 haker della domenica che scrivono codice tra colazione e pranzo, qui ci sono Haker Russi finanziati dal governo..

Non che questo sia giustificabile eh... ma qui siamo di fronte a gente che per lavoro fa questo, trovare falle e sfruttarle con competenze tecniche superiori...
Io e te questa falla non la troviamo...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^