Vediamo perché gli hacker amano sfruttare specifiche vulnerabilità di Microsoft Office. Qui di seguito troverete alcune delle vulnerabilità più pericolose scoperte in MS Office negli ultimi anni.
Gli hacker sono stati sfruttano le vulnerabilità di Microsoft Office per diffondere varie forme di malware. A seconda del scopo e scala della campagna, il malware potrebbe essere progettato per rubare diverse credenziali di accesso e spiare gli obiettivi’ attività, cadere ransomware e criptovaluta minatori, DDoS di malware, tra gli altri. Un recente rapporto condotto da Kaspersky ha rivelato che circa il 70% di tutti gli attacchi della società rilevata nel primo trimestre 2018 stavano cercando di sfruttare una vulnerabilità di Microsoft Office. Il numero è molto più grande rispetto agli anni precedenti.
Lo sapevate che anche i vecchi vulnerabilità vengono spesso utilizzati in campagne in corso in quanto gli utenti sono stati più volte non riescono a correggere i loro sistemi? Secondo una 2017 rapporto RAND, l'aspettativa di vita media di vulnerabilità è quasi sette anni. Così, Non essere sorpreso dal fatto che alcune delle vulnerabilità in questo elenco sono un paio di anni.
Secondo Kaspersky, due delle vulnerabilità di Microsoft Office più sfruttati sono stati scoperti in 2017: CVE-2.017-11.882 e CVE-2018-0802.
A partire l'anno scorso, un certo numero di di exploit zero-day per Microsoft Office ha iniziato a pop-up, Kaspersky ha sottolineato. Queste campagne in un primo momento sembrano essere mirati, ma si spostano rapidamente la loro attenzione per attaccare una gamma più ampia di obiettivi. Questo accade quando gli attaccanti iniziano a utilizzare i costruttori documento dannoso.
CVE-2.017-11.882
Un esempio interessante che illustra il ritmo rapido di trasformare una campagna da mirato al pubblico è CVE-2.017-11.882, una vulnerabilità editor di equazioni che è stato patchato da Microsoft nel novembre 14, 2017 come parte del Patch Martedì. La vulnerabilità si trova in Microsoft Equation Editor, un componente di Microsoft Office, ed è una vulnerabilità stack overflow che permette esecuzione di codice remoto su un sistema vulnerabile. Il componente è stato compilato novembre 9, 2000.
Dal consulenza ufficiale: “Una vulnerabilità legata all'esecuzione di codice in modalità remota nel software Microsoft Office quando il software non riesce a gestire correttamente gli oggetti in memoria. Un utente malintenzionato che riesca a sfruttare la vulnerabilità potrebbe eseguire codice arbitrario nel contesto dell'utente corrente. Se l'utente corrente è connesso con privilegi di amministrazione, un utente malintenzionato potrebbe assumere il controllo del sistema interessato.”
Malware associato a questa vulnerabilità include AgentTesla, Andromeda, BONDUPDATER, OCCHIO DI FALCO, Kit LCG, Loki, POWRUNNER, QuasarRAT, REMCOS RAT, ThreadKit Exploit Kit.
Anche se questa vulnerabilità è relativamente vecchia, è stato sfruttato in campagne di spam attivi rilevati a giugno. Come abbiamo riportato, una campagna di malware attivo che utilizza le email in lingue europee distribuisce file RTF che portano la CVE-2.017-11.882 exploit. L'exploit consente agli aggressori di eseguire automaticamente il codice dannoso, senza la necessità di alcun intervento da parte dell'utente.
CVE-2018-0802
Questo è un altro vulnerabilità legata all'esecuzione di codice in modalità remota Equation Editor del software Microsoft Office che viene attivato quando il software non riesce a gestire correttamente gli oggetti in memoria. Equation Editor in Microsoft Office 2007, Microsoft Office 2010, Microsoft Office 2013, e Microsoft Office 2016 è vulnerabile a causa del modo oggetti vengono gestiti in memoria.
Perché attaccanti amano sfruttando vulnerabilità di Microsoft Office CVE-2.017-11.882 e CVE-2018-0802
La spiegazione è che gli attaccanti preferiscono semplice, bug logici, Kaspersky ha detto. Ecco perché queste vulnerabilità dell'editor due equazione sono uno degli insetti più sfruttate in Microsoft Office. Gli insetti sono “lavoro affidabile e in ogni versione di Word rilasciata in passato 17 anni". E ciò che è più importante è che la creazione di un exploit per uno di loro non richiede competenze avanzate e conoscenze tecniche specifiche. E la ragione di questo è perché “il file binario editor di equazioni non ha avuto alcuna delle protezioni moderne e mitigazioni ci si aspetterebbe da un'applicazione in 2018", i ricercatori hanno notato.
CVE-2017-0199
Secondo un'analisi per Future registrata, CVE-2017-0199 è il bug MS Office più sfruttata per 2017. Il bug è stato rilevato dai ricercatori FireEye nel mese di aprile, 2017. Il problema risiede in documenti RTF MS Office, e potrebbe consentire agli aggressori di scaricare ed eseguire uno script Visual Basic contenente comandi PowerShell, con la condizione che l'utente apre un documento contenente l'exploit incorporato.
I ricercatori hanno analizzato una serie di documenti di Office sfruttando CVE-2017-0199 che ha scaricato ed eseguito payload dannosi provenienti da diverse famiglie di malware noti. Il bug è stato notevolmente utilizzato dal cosiddetto Gorgon Gruppo che operano fuori del Pakistan, che in primo luogo preso di mira le organizzazioni governative nel U.K. e gli Stati Uniti.
Malware associato CVE-2017-0199 comprende DMShell ++, njRAT, Pony, QuasarRAT, REMCOS RAT, shutterspeed, Silenzioso Doc Exploit Kit, Threadkit Exploit Kit. La vulnerabilità permesso di malware da inserire nei documenti abusando l'aggiornamento automatico dei link incorporati.
https://sensorstechforum.com/microsoft-office-infections-cve-2017-0199/”] Gli hacker escogitare Microsoft Office Infezioni via CVE-2.017-0.199 Exploit
CVE-2017-8570
Questo è un altro dei principali vulnerabilità di Microsoft Office. Secondo consulenza ufficiale, Microsoft Office è soggetta a una vulnerabilità codice esecuzione remoto che può essere sfruttato per eseguire codice arbitrario nel contesto dell'utente attualmente collegato. tentativi falliti sfruttare potrebbe comportare la negazione di condizioni di servizio.
La vulnerabilità è stata sfruttata per distribuire formbook, QuasarRAT, Sisfader RAT, Threadkit Exploit Kit, e Trickbot il malware. È interessante notare che il Sisfader RAT mantiene la persistenza con l'installazione di per sé come un servizio, quando lanciato da file RTF dannosi.
CVE-2019-1035
La vulnerabilità è stata rattoppata nel mese di giugno 2019 Patch Martedì, ed è considerato molto grave. Secondo Allan Liska, anziano soluzioni architetto al Future Recorded, "questo è un altro vulnerabilità di corruzione della memoria che richiede un utente malintenzionato di inviare un documento di Microsoft Word appositamente predisposto per una vittima per aprire, in alternativa, un utente malintenzionato potrebbe convincere una vittima a cliccare su un link a un sito web che ospita un documento dannoso di Microsoft Word."
Quel che è peggio è che il difetto colpisce tutte le versioni di Microsoft Word su Windows e Mac sistemi operativi, così come Ufficio 365. "Dato che documenti di Microsoft Word sono uno strumento di sfruttamento dei preferiti di criminali informatici, se questa vulnerabilità è reverse engineering potrebbe essere ampiamente sfruttata,”Il ricercatore ha aggiunto.
Come risulta, attaccanti amano sfruttando le vulnerabilità di Microsoft Office. I difetti che abbiamo elencato sopra sono sicuramente gravi ma sono solo una piccola porzione del arsenale utilizzato dagli attori di minaccia. Patching il sistema operativo non appena una correzione di sicurezza arriva è molto importante, ma a volte può non essere sufficiente, come evidente dal sacco di exploit zero-day (mira non solo i prodotti Microsoft, ma anche una serie di altri software). Come molte delle campagne di sfruttare si diffondono tramite e-mail e richiedono l'interazione con l'utente di aprire un e-mail / file / link maligno, l'adozione di sensibilizzazione alla sicurezza phishing diventa una priorità assoluta sia per le imprese e gli utenti domestici.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: