Kaspersky scopre una vulnerabilit 0-day di Internet Explorer, già sfruttata per attacchi mirati

Kaspersky scopre una vulnerabilit 0-day di Internet Explorer, già sfruttata per attacchi mirati

Il problema è stato individuato a fine aprile. Microsoft ha reso disponibile la patch correttiva dallo scorso 8 maggio

di pubblicata il , alle 19:41 nel canale Sicurezza
 

Kaspersky Lab ha recentemente rilevato un exploit in precedenza sconosciuto e classificato come vulnerabilità zero-day CVE-2018-8174 per Internet Explorer. Secondo gli esperti di sicurezza della società russa, la vulnerabilità è già stata sfruttata per attacchi mirati nel mondo reale.

Secondo le informazioni disponibili, l'exploit sarebbe attivato a partire da un documento Word, rappresentando il primo caso noto in cui viene sfruttata questa particolare tecnica. E ad aggravare il quadro, sembra che l'attivazione dell'exploit sia avvenuta nonostante la versione di Microsoft Office fosse aggiornata all'ultima release disponibile.

Come detto, l'exploit sfrutta una vulnerabilità zero-day relativa ad un errore di tipo user-after-free (UAF) di Internet Explorer, per via di un problema nella logica di gestione di alcuni buffer presenti in memoria che vengono riutilizzati erroneamente dopo essere stati liberati. Nella maggior parte dei casi questo comportamento ha come esito il crash del browser senza ulteriori conseguenze, ma in questo caso gli attaccanti sono riusciti a sfruttare il problema per andare ad eseguire codice arbitrario e prendere il controllo della macchina.

I ricercatori Kaspersky hanno delineato le fasi dell'attacco che si configura come una sorta di infezione a catena:

  • Le vittime ricevono il documento Microsoft Office RTF malevolo
  • Dopo aver aperto il documento, viene scaricata la seconda fase dell’exploit: una pagina HTML contenente altro codice malevolo
  • Il codice corrompe la memoria innescando l’errore UAF
  • Viene eseguito lo shellcode che scarica un ulteriore payload malevolo

Spiega Anton Ivanov, ricercatore per Kaspersky:

 "Questa tecnica, prima della pubblicazione dei recenti aggiornamenti, ha consentito ai criminali di forzare l'avvio di Internet Explorer, indipendentemente dal browser utilizzato normalmente, aumentando così una superficie di attacco. Fortunatamente, la scoperta della minaccia ha portato al rilascio tempestivo della patch di sicurezza da parte di Microsoft. Invitiamo le organizzazioni e gli utenti privati a installare immediatamente le ultime patch, poiché non passerà molto tempo prima che il codice per lo sfruttamento di questa vulnerabilità inizi ad essere utilizzato negli exploit-kit più famosi e venga quindi sfruttato anche da criminali comuni" 

La vulnerabilità è stata individuata da Kaspersky alla fine del mese di aprile, informando immediatamente Microsoft del problema. Dall'8 maggio è stata messa a disposizione la patch correttiva, che può essere scaricata a partire da questa pagina: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8174

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
pabloski11 Maggio 2018, 12:20 #1
CVD il cybercrimine possiede suoi centri di ricerca e a volte trova le vulnerabilità prima dei whitehat.

Sentire al sicuro solo perchè si hanno le ultime patch ufficiali è da folli.
tallines11 Maggio 2018, 13:17 #2
Internet Explorer.........e chi lo usa ?

Comunque bene che è stata trovata questa vulnerabilità .

Non capisco cosa aspettano a toglierlo da Windows 10, c'è Edge, non basta ?.......
nickname8811 Maggio 2018, 13:19 #3
Sarà anche sfruttata ma con poco successo
pabloski11 Maggio 2018, 14:21 #4
Originariamente inviato da: nickname88
Sarà anche sfruttata ma con poco successo


Non mi pare proprio. Il titolo dice chiaramente che è usata per attacchi mirati, come sono quasi tutte le vulnerabilità sconosciute al grande pubblico.

Se grazie ad una vulnerabilità del genere riesci a rubare i piani del sistema Aegis, direi che è un successone. Chiedere ai cinesi per conferme...
nickname8811 Maggio 2018, 14:31 #5
Originariamente inviato da: pabloski
Non mi pare proprio. Il titolo dice chiaramente che è usata per attacchi mirati, come sono quasi tutte le vulnerabilità sconosciute al grande pubblico.

Se grazie ad una vulnerabilità del genere riesci a rubare i piani del sistema Aegis, direi che è un successone. Chiedere ai cinesi per conferme...
Ma chi usa IE ?
Eress11 Maggio 2018, 15:16 #6
Originariamente inviato da: tallines
Internet Explorer.........e chi lo usa ?

Comunque bene che è stata trovata questa vulnerabilità .

Non capisco cosa aspettano a toglierlo da Windows 10, c'è Edge, non basta ?.......

Anche se non lo usi, da quel che ho letto, si aprirebbe un link su IE da un documento word, in teoria potrebbe aprirsi anche su 10 che ha IE. E infatti nella lista dei prodotti interessati alla vulnerabilità, c'è anche W10.
Nicodemo Timoteo Taddeo11 Maggio 2018, 15:24 #7
Originariamente inviato da: nickname88
Ma chi usa IE ?


A parte il fatto che qui non è questione di quanti usano IE, in molti contesti è ancora indispensabile perché molti servizi sono ancora concepiti per funzionare con lui, per questo anche se considerato obsoleto resta ancora presente su Windows e lo sarà ancora a lungo.
pabloski11 Maggio 2018, 16:00 #8
Originariamente inviato da: nickname88
Ma chi usa IE ?


Una marea di entità, soprattutto enterprise, legate alle tecnologie activex o applet java.

E IE c'è anche in Windows 10 e quindi basta, come detto da altri, un documento word con un link e zac.
nickname8811 Maggio 2018, 16:47 #9
Originariamente inviato da: pabloski
Una marea di entità, soprattutto enterprise, legate alle tecnologie activex o applet java.

E IE c'è anche in Windows 10 e quindi basta, come detto da altri, un documento word con un link e zac.

Questo in ambito enterprise ma in consumer praticamente quasi tutti riescono a farne a meno.
Ed il documento word sconosciuto non lo aprirebbe nessun utente accorto.
pabloski11 Maggio 2018, 16:59 #10
Originariamente inviato da: nickname88
Questo in ambito enterprise ma in consumer praticamente quasi tutti riescono a farne a meno.


Ma questi sono attacchi mirati, non se ne fanno niente del pc del baluba di turno. Questi spendono cifre folli per trovare nuove vulnerabilità o comprarne le informazioni dai "freelance". Ma parliamo comunque di centinaia di migliaia di euro come punto di partenza. Ovviamente puntano ai pesci grossi, aziende, governi, militari.

Originariamente inviato da: nickname88
Ed il documento word sconosciuto non lo aprirebbe nessun utente accorto.


Da quello che ho letto negli ultimi 15 anni ho seri dubbi.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^