Una nuova analisi indica che una nota vulnerabilità di sicurezza in Microsoft Office è ancora sfruttata dai gruppi di minacce. La vulnerabilità in questione è CVE-2017-11882, un difetto di danneggiamento della memoria in Microsoft Office Equation Editor, scoperto per la prima volta a dicembre 2017.
L'exploit consente agli aggressori di eseguire codice remoto dopo che la vittima ha aperto un documento dannoso; questo metodo è ampiamente noto come phishing. Una volta eseguito il documento dannoso, il computer della vittima viene infettato da uno specifico payload dannoso.
CVE-2017-11882 ancora sfruttato dagli aggressori
I ricercatori di sicurezza affermano che nonostante sia stato patchato tre anni fa, la vulnerabilità è ancora sfruttata da vari gruppi di minacce. In una conversazione con ZDNet, Alex Holland, analista senior di malware presso HP, ha sottolineato che la sua popolarità “potrebbe essere dovuta al fatto che gli utenti domestici e le aziende non si aggiornano a nuovi, versioni con patch di Office ". Di solito vediamo questa vulnerabilità sfruttata da aggressori che distribuiscono trojan di accesso remoto facilmente ottenibili,” il ricercatore ha aggiunto.
Nel mese di giugno 2019, abbiamo segnalato una campagna di malware, utilizzando messaggi di posta elettronica nelle lingue europee per la distribuzione File RTF che contenevano CVE-2017-11882. L'exploit ha consentito agli aggressori di eseguire automaticamente codice dannoso senza la necessità di alcuna interazione da parte dell'utente.
È interessante notare che il difetto è stato utilizzato in combinazione con molti altri nelle campagne che forniscono il Trojan CobInt.
Un utente malintenzionato che riesca a sfruttare CVE-2.017-11.882 può eseguire codice arbitrario nel contesto dell'utente corrente. Se l'utente corrente è connesso con privilegi di amministrazione, un utente malintenzionato potrebbe assumere il controllo del sistema interessato a installare programmi e visualizzare, modificare, o cancellare i dati. Un utente malintenzionato potrebbe anche creare nuovi account con diritti utente completi.
CVE-2017-11882 è stata classificata come una delle vulnerabilità più sfruttate. Il difetto è persino arrivato nell'elenco di Recorded Future dedicato al 10 le vulnerabilità più sfruttate in 2018.
In 2020, rappresentava quasi 87% di tutti gli exploit utilizzati. Quest'anno, un'altra vulnerabilità sta guadagnando popolarità tra i criminali informatici – CVE-2017-0199.