Microsoft chiude falla 0-day sfruttata per l'installazione di spyware

Tra i vari problemi risolti dagli aggiornamenti rilasciati ieri nell''usuale appuntamento con il Patch Tuesday di Microsoft, vi è la chiusura di una falla 0-day che secondo i ricercatori di sicurezza di FireEye è stata sfruttata attivamente da uno Stato non rivelato per installare malware di sorveglianza su alcuni sistemi vulnerabili.

FireEye ha pubblicato un intervento sul proprio blog ufficiale dove dettaglia il problema. L'exploit è stato integrato in un documento Microsoft Word, che una volta aperto sfrutta una vulnerbilità 0-day del famework .Net di Microsoft. Tramite l'exploit si arriva all'installazione di FinSpy, una famiglia di software di sorveglianza che il suo controverso sviluppatore, la società britannica Gamma Group, vende ai governi del mondo.

La vulnerabilità .Net è presente nel parser che dovrebbe vagliare e scartare gli input dannosi presenti nel data fed dell'engine Web Service Description Language. L'exploit porta al download di una definizione formata in maniera artificiosa da un server controllato dall'attaccante, che viene compilata in una libreria di codice. Il codice va quindi a creare un nuovo processo che riceve lo script HTA, il quale a sua volta rimuove il codice sorgente e la libreria e scarica un file chiamato left.jpg che, nonostante l'estensione, è un eseguibile. Ed è a questo punto che viene installato il malware FinSpy che fa uso di un codice reso pesantemente incomprensibile e di una macchina virtuale integrata per nascondere le sue attività.

Secondo quanto dichiarato da FireEye, la vulnerabilità - archiviata con il codice CVE-2017-8759 - è stata scoperta circa cinque mesi dopo un'altra vulnerabilità 0-day usata anch'essa per la distribuzione di FinSpy. FireEye afferma che la vulnerabilità è stata usata per infettare un non meglio precisato bersaglio russo di interesse, ma considerando che FinSpy è stato venduto a numerosi clienti, la tecnica potrebbe essere stata usata anche contro altri bersagli.

Sul problema si è espressa anche Microsoft, pubblicando un intervento sul proprio blog affermando che gli hacker che hanno condotto l'attacco fanno parte del gruppo NEODYMIUM, che in precedenza aveva già usato vulnerabilità 0-day assieme ad allegati spear-phishing per installare lo spyware FinFisher.