Falla critica in Office. Il malware si avvia in automatico!


Una vulnerabilità devastante che non richiede alcuna interazione da parte dell’utente. Appena si apre il documento, il malware colpisce.

La falla è di quelle che possono avere conseguenze devastanti e sfrutta un clamoroso bug (CVE-2017-11882) all’interno di Microsoft Office che permette di avviare l’esecuzione di codice all’apertura di un documento.

Come spiegano i ricercatori di Embedi, che hanno individuato il bug la scorsa estate segnalandolo a Microsoft, il problema riguarda un componente di Office chiamato Microsoft Equation Editor, che consente di inserire equazioni matematiche all’interno dei documenti sotto forma di oggetti OLE.

A occuparsene è un eseguibile, che Microsoft per la verità ha aggiornato in Office 2007. All’interno del programma, però, è ancora presente EQNEDT32.EXE, un eseguibile con la stessa funzione sviluppato nel 2000. Il motivo? Garantire la compatibilità con i documenti creati con vecchie versioni di Office.

Falla Office

Un file eseguibile realizzato nel 2000 si nasconde nel nostro modernissimo sistema operativo. Cosa potrà mai andare storto?

Purtroppo il vecchio eseguibile sfrutta delle librerie obsolete e non utilizza nessuna delle funzioni di sicurezza introdotte da Microsoft nel suo sistema operativo. Risultato: un pirata informatico può usarlo per confezionare un documento Office che avvia l’esecuzione di codice senza alcuna interazione con l’utente.

Falla Office

L’analisi del processo attraverso ProcessMitigation mostra chiaramente che EQNEDT32.EXE non adotta nessuno degli accorgimenti previsti per ridurre il rischio di abusi.

Niente avvisi, richieste di conferme o attivazione dei comandi Macro. L’eventuale malware verrebbe avviato automaticamente al momento stesso dell’apertura del documento.

Nel video pubblicato da Embedi si vede come il bug consenta di avviare un eseguibile (in questo caso la calcolatrice di Windows) automaticamente. La falla è stata corretta da Microsoft nell’ultima tornata di aggiornamenti per Office rilasciata nella giornata di ieri.

Stando a quanto si legge nel report pubblicato da Embedi, però, la presenza di EQNEDT32.EXE rappresenta in ogni caso un rischio per la sicurezza del sistema e non è escluso che emergano altre vulnerabilità o tecniche per sfruttarne la fragilità.

Il consiglio dei ricercatori è quello di disabilitarlo attraverso il registro di sistema. Per farlo è sufficiente eseguire il seguente comando all’interno del Prompt:

reg add “HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400

Nel caso si utilizzi una versione di Office 32 bit su un sistema a 64 bit, il comando è invece questo:

reg add “HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400

I ricercatori consigliano inoltre di utilizzare sempre la Visualizzazione protetta per i file che provengono da Internet o da email.

Falla Office

Le impostazioni predefinite di Office usano la Visualizzazione protetta per tutti i file provenienti da Internet e ricevuti come allegati email.

In questo modo i file vengono aperti in una sandbox che limita il rischio di azioni dannose da parte dei file. La corretta configurazione delle impostazioni può essere verificata attraverso il Centro protezione accessibile attraverso le Opzioni di Office.



Articoli correlati

Altro in questa categoria


Attenzione alla truffa di Movie Maker


Sul Web è comparsa una versione “farlocca” del software di montaggio video. I truffatori cercano di scucire denaro a chi lo installa.

Lo scorso gennaio Microsoft ha smesso di distribuire il suo software gratuito di editing video Movie Maker sostituendolo con l’inguardabile Story Remix e lasciando milioni di utenti senza uno strumento che (con tutti i suoi limiti) permette di elaborare facilmente i video su PC.

Alla delusione degli utenti Windows, però, adesso si aggiunge la beffa. Come segnalato da ESET, infatti, migliaia di persone stanno cadendo nella trappola di un gruppo di truffatori che propongono un “clone” del popolare software.

Il programma è esattamente quello che eravamo abituati a trovare in Windows, ma con qualche piccola differenza. In particolare funziona come una classica versione di prova, con alcune funzioni disattivate (tra cui il salvataggio dei file) per la cui attivazione viene chiesto il pagamento di 29,95 dollari.

truffa Movie Maker

Sembra tutto normale, ma il software proposto è in realtà una versione pirata dell’originale. E per giunta proposta a pagamento.

Non si tratta di una truffa particolarmente originale, ma la diffusione del software negli ultimi giorni ha raggiunto picchi spaventosi e la colpa è tutta… di Google!

Da quando Microsoft ha “ritirato” Movie Maker, infatti, il sito che offre il programma è riuscito a scalare le classifiche nell’indicizzazione di Google e compare al primo posto quando si esegue la ricerca con il nome del software.

truffa Movie Maker

La scelta del domino e il fatto che il programma è sparito dai siti ufficiali di Microsoft sono i fattori che hanno permesso ai truffatori di posizionarsi in testa ai risultati quando si cerca Movie Maker.

La diffusione del software, che ESET ha battezzato come Win32/Hoax.MovieMaker, è di conseguenza schizzata alle stelle e a inizio di novembre era tra le tre minacce più rilevate al mondo (addirittura primo in Israele) e in Italia è arrivato a rappresentare il 9% dei software pericolosi individuati dalla società di sicurezza.

Fortunatamente il clone di Movie Maker non è un vero e proprio malware (almeno per il momento) e si limita a visualizzare in maniera ossessiva il messaggio che ne propone l’acquisto.



Articoli correlati

Altro in questa categoria


Rubare le credenziali di un PC Windows in rete locale? Fin troppo facile


Una tecnica di attacco consente di sottrarre le credenziali NTLM. Microsoft ha mitigato il rischio, ma solo su Windows 10 e Server 2016.

Per un pirata informatico, il furto delle credenziali di autenticazione NTLM rappresenta uno strumento prezioso per eseguire il cosiddetto “movimento laterale” verso server e altri PC collegati nella rete locale. Il protocollo, introdotto già ai tempi di Windows 3.11, rappresenta però un vero tallone d’Achille per le reti Microsoft. E ora ancora di più.

Stando a quanto riporta il ricercatore di sicurezza colombiano Juan Diego, i sistemi Windows soffrono di una vulnerabilità che consentirebbe a un hacker, una volta avuto accesso a una macchina all’interno della rete, di ottenere con estrema facilità le credenziali degli altri sistemi Windows collegati.

Lo strumento utilizzato da Diego, che in un post sul suo blog spiega passo per passo la tecnica di attacco, prevede l’uso di un file SCF confezionato ad hoc, che deve essere caricato in una cartella condivisa senza protezione con password per l’accesso.

I file SCF utilizzano comandi di explorer.exe (per esempio per creare un collegamento che consenta di visualizzare il desktop) e, come sottolinea lo stesso ricercatore, rappresentano una sorta di “buco nero” nell’ecosistema Windows. La documentazione relativa al loro funzionamento è infatti scarsissima.

L’elemento sconcertante del bug segnalato da Diego è il fatto che, a differenza di altre tecniche di attacco che sfruttano SCF, in questo caso non è necessario che uno degli utenti collegati vada ad aprire il file in questione. La sua semplice presenza permette di “sniffare” gli hash delle credenziali NTLM.

credenziali NTLM

Basta un file all’interno di una cartella condivisa e sul computer controllato dal pirata informatico piovono hash delle credenziali NTLM degli altri PC in rete.

Nel tutorial pubblicato dall’analista viene spiegata la procedura passo per passo, che richiede solo l’uso del modulo capture/smb di Metasploit e di un software come John The Ripper per violare gli hash.

Secondo Diego, tutti i sistemi Microsoft (ma lui ha provato solo Windows 7 e Windows 10) sarebbero vulnerabili all’attacco. E dopo la segnalazione a Microsoft le cose non sarebbero cambiate più di tanto.

Come spiega lo stesso ricercatore, infatti, la risposta alla sua segnalazione non è stata esattamente un esempio di reattività ed efficacia. L’unico strumento di mitigazione (mitigazione, non correzione) sarebbe infatti una patch che modifica un paio di chiavi del registro e che in buona sostanza disattivano NTLM.

Un bel problema, visto che la disattivazione di NTLM può avere ripercussioni sul funzionamento di numerosi ambienti di rete.

Peggio ancora: dopo 148 giorni dalla segnalazione del problema, Microsoft avrebbe reso disponibile la patch solo per Windows 10 e Windows Server 2016, lasciando “scoperti” i sistemi precedenti compreso Windows 7.

Secondo Diego, l’unico strumenti di mitigazione efficace, a questo punto, è quello di utilizzare password particolarmente lunghe e complesse (già sentito?) in modo da rendere più lungo e difficile il compito di scardinare l’hashing delle credenziali.



Articoli correlati

Altro in questa categoria


Caso KRACK: quali sono i rischi e come proteggersi


La notizia delle vulnerabilità dei collegamenti Wi-Fi ha scatenato il panico tra gli utenti. Ecco come evitare gli attacchi.

Dopo aver letto la notizia che il protocollo Wi-Fi ha un bug che consente ai pirati di intercettare le nostre comunicazioni, la prima domanda è: come fare per evitare di finire vittima di un attacco?

La risposta varia a seconda della situazione in cui ci troviamo. Come sottolinea Jarno Niemelä di F-Secure, per essere vittima di un attacco con KRACK è necessario che sia l’access point che il dispositivo che stiamo usando siano vulnerabili all’attacco.

Questo significa, in primo luogo, che se il modem-router a cui ci colleghiamo è stato aggiornato, non c’è rischio. Questa condizione è facile da verificare per il nostro dispositivo di casa (ma in ogni caso è consigliabile usare il collegamento via cavo ethernet ogni volta che è possibile) ma un po’ meno quando ci colleghiamo a un hot spot pubblico in mobilità.

Più facile, quindi, garantirsi attraverso la verifica della vulnerabilità del dispositivo che stiamo usando. Chi usa Windows per una volta può stare tranquillo. Microsoft ha infatti corretto il problema negli aggiornamenti resi disponibili lo scorso 10 ottobre.

Per quanto riguarda Apple, la patch è inserita nelle beta di macOS, iOS, tvOS e watchOS, ma nulla si sa riguardo i router della serie AirPort. Questo significa che fino al rilascio di iOS 11.1 (previsto per il 3 novembre) i dispositivi mobili Apple saranno vulnerabili all’attacco.

Come abbiamo spiegato in un articolo precedente, invece, i device più a rischio sono i computer con Linux, i dispositivi IoT, gli smartphone e i tablet Android.

Per Linux gli sviluppatori si sono mossi rendendo disponibili le nuove versioni di wpa_supplicant (il componente incriminato) immuni all’attacco.

Per Android, invece, non si sa ancora nulla e bisognerà aspettare l’aggiornamento da parte di Google e (al solito) dagli altri produttori.

KRACK Wi-Fi

I rischi maggiori si corrono quando ci si collega a una rete Wi-Fi in un luogo pubblico. In queste condizioni non possiamo sapere se l’acces point sia vulnerabile ed è più probabile che nell’area d’azione ci sia qualcuno intenzionato ad attaccarci.

In definitiva, quindi, numerosi utenti resteranno “scoperti” per un po’ di tempo e il rischio che qualcuno possa sfruttare la vulnerabilità per portare attacchi è concreta.

Detto questo, è bene considerare quali sono i reali rischi. Come fa notare F-Secure nel suo commento, KRACK è in grado di mettere a rischio (e nel caso di Linux e Android disintegrare) la protezione crittografica dei dati su Wi-Fi. Per fortuna, però, se i dati in questione sono protetti da altri livelli di crittografia il problema non assume contorni preoccupanti.

Se il collegamento con un sito Internet è gestito tramite protocollo HTTPS, per esempio, l’eventuale pirata che dovesse usare KRACK per aggirare la protezione crittografica di WPA2 si troverebbe con in mano un malloppo di dati…. crittografati con HTTPS.

Purtroppo ci sono molti siti e servizi che ancora non usano HTTPS e tecniche di attacco che potrebbero sfruttare eventuali falle per “dirottare” il protocollo sul meno sicuro HTTP.

Chi utilizza una VPN, invece, può stare tranquillo. Le Virtual Private Network, infatti, usano un sistema di crittografia per i dati inviati che non ha nulla a che fare con WPA2 e, in questo caso, tutti i dati sarebbero ragionevolmente al sicuro.

Attenzione, però: secondo Jarno Niemelä, i pirati potrebbero adottare uno stratagemma per aggirare anche questa protezione, bloccando il traffico protetto nella speranza che di riuscire a indurre le potenziali vittime a disattivare la VPN.

Il suggerimento, quindi, è semplice: se vi trovate su una rete Wi-Fi in cui la VPN non funziona, rinunciate a navigare. Il rischio è che qualcuno stia aspettando il momento giusto per sniffare le vostre comunicazioni.



Articoli correlati

Altro in questa categoria


Microsoft hackerata nel 2013. “Violato database con segnalazioni dei bug”


Un gruppo di hacker avrebbe messo le mani sulle informazioni riguardanti vulnerabilità e falle di sicurezza. Ma lo si scopre solo adesso…

Nel 2013 si sarebbe verificata un’intrusione nei sistemi di Microsoft che l’azienda avrebbe tenuto segreta. A rivelarlo è Reuters, che in un articolo riporta la testimonianza di cinque ex-dipendenti di Satya Nadella che hanno raccontato i dettagli della vicenda.

A rendere particolarmente inquietante la notizia è il fatto che gli hacker sarebbero riusciti ad accedere a un database piuttosto delicato: quello che contiene le segnalazioni di bug e falle di sicurezza e viene usato per tenere traccia dei progressi nella loro correzione.

Perché si tratterebbe di materiale particolarmente sensibile? Per capirlo è necessario entrare per un attimo nell’ottica di un cyber-criminale o di un agente segreto specializzato in guerriglia informatica.

Ci sono due tipi di vulnerabilità che i pirati informatici sfruttano per i loro attacchi: quelle conosciute e le cosiddette zero-day, le falle di sicurezza che nessuno aveva ancora individuato.

Com’è naturale, le seconde rappresentano una minaccia maggiore delle prime, dal momento che i produttori non hanno ancora predisposto gli aggiornamenti per correggerle e gli utenti, di conseguenza, sono indifesi nei confronti di eventuali attacchi.

Trovare una vulnerabilità zero-day però non è così facile e solo gruppi di cyber-criminali molto abili o legati alle agenzie di intelligence riescono di solito a procurarsele, spesso pagandole fior di euro.

Per quanto riguarda le vulnerabilità conosciute, il discorso è diverso. Per un pirata informatico è molto più facile mettere a punto un attacco quando sa esattamente quale sia il punto debole sul quale fare leva e, in alcuni casi, è possibile trovare anche il codice già pronto per farlo.

Qui però entra in gioco un altro aspetto: il fattore tempo. Dal momento che le falle di sicurezza vengono (normalmente) rese pubbliche solo quando è già disponibile una patch che le corregge, per sfruttare questo tipo di falle i pirati possono contare su una finestra temporale piuttosto ridotta: quella tra il momento in cui viene pubblicata la vulnerabilità e il momento in cui le potenziali vittime installano l’aggiornamento.

Mettendo le mani su un database come quello di cui stiamo parlando, che contiene cioè le segnalazioni riguardanti bug e possibili falle di sicurezze, i cyber-criminali hanno a disposizione una vera miniera d’oro: potenziali vulnerabilità che non sono ancora state studiate a fondo e per le quali non è disponibile un rimedio.

Microsoft hackerata 2013

Immaginate cosa possa significare per un pirata informatico mettere le mani su queste informazioni prima che siano rese pubbliche e prima ancora che sia disponibile una patch…

Insomma: l’utilizzo di quelle informazioni permette di mettere ea punto strumenti di attacco con la stessa facilità di quando si lavora con vulnerabilità conosciute, ma ottenendo la stessa efficacia di uno zero-day.

Per giunta, l’attacco è stato portato da Wild Neutron, uno dei gruppi di pirati informatici più pericolosi in circolazione. Stando a quanto riporta Reuters, gli hacker avrebbero fatto breccia nei sistemi Microsoft sfruttando una falla di Java, attraverso la quale avrebbero ottenuto l’accesso (pronti a ridere?) ai computer Mac presenti in azienda, passando poi al resto della rete.

Dalle parti di Redmond, quindi, si devono essere resi conto immediatamente di avere tra le mani una bella gatta da pelare. Come reagire all’attacco? Rendere pubbliche le vulnerabilità consentendo ai propri utenti di adottare misure di mitigazione del rischio (ma fornendo ai cyber-criminali indizi su dove andare a colpire) o mantenere il segreto e correre il rischio che i pirati sfruttino le informazioni e trovino le potenziali vittime totalmente impreparate?

Secondo quanto riporta Reuters, l’azienda di Nadella avrebbe optato per la seconda via, scegliendo di risolvere il problema senza fare troppo rumore.

Il primo passo fatto dall’azienda sarebbe stato quello di rafforzare le misure di sicurezza del database, posizionandolo al di fuori della rete aziendale e introducendo un sistema di accesso con una doppia autenticazione.

Nel frattempo, si sarebbero dati da fare per smaltire il lavoro arretrato, approfondendo le segnalazioni e sviluppando in tempi record le patch per correggere le vulnerabilità individuate.

In contemporanea, Microsoft avrebbe monitorato la situazione per capire se qualcuno stesse sfruttando le informazioni per portare attacchi nei confronti dei sistemi Windows e, stando a quanto si legge nell’articolo, lo avrebbe escluso.

Tutto bene, dunque? Quasi. Perché secondo alcune delle fonti di Reuters, l’indagine di Microsoft sarebbe stata insufficiente per escludere davvero che la vicenda abbia avuto conseguenze. Saperlo con certezza, però, a questo punto è impossibile.



Articoli correlati

Altro in questa categoria


Attenzione ai documenti Office: il malware si avvia anche senza Macro


La tecnica sfrutta Microsoft Dynamic Data Exchange per avviare un eseguibile. Microsoft: “non è una falla di sicurezza”.

La notizia, per chi si occupa di divulgazione nel campo della sicurezza informatica, è di quelle che assestano un duro colpo. Dopo aver impiegato anni per spiegare agli utenti Office che le Macro sono pericolose, ora ci tocca cominciare tutto da capo.

A tirare indietro le lancette dell’orologio è una modalità di attacco che sfrutta un’altra funzione dei programmi Microsoft, chiamata Dynamic Data Exchange o DDE.

La sua funzione è quella di consentire lo scambio di dati trar diverse applicazioni del pacchetto Office, per esempio tra Word ed Excel. Peccato che sia possibile usarla per avviare l’esecuzione di un malware.

In realtà l’attacco non è una novità, anzi: aveva già fatto la sua comparsa negli anni ’90. Ma erano altri tempi e i pirati informatici hanno preferito poi ripiegare sull’uso delle famigerate Macro, la cui esecuzione a quell’epoca era attiva per impostazione predefinita e rappresentava di conseguenza un vettore di attacco più efficace.

Ora qualcuno ha pensato bene di ripescarlo e, a quanto pare, con un certo successo. A scoprirlo sono stati i ricercatori di SensePost, che hanno pubblicato addirittura un tutorial che spiega come sia possibile mettere in atto l’attacco.

Il risultato è che, all’apertura di un documento di Word assemblato con questa tecnica, sullo schermo dell’utente compare un primo messaggio che chiede l’autorizzazione per aggiornare i dati presenti nel file.

Office malware

Non si parla di file eseguibili o di istruzioni Macro. Fin qui sembra che l’operazione sia innocua…

Il trucchetto, però, è che il campo è stato impostato in modo che Windows avvii cmd.exe, cioè la shell di comando di Windows, e a seguire esegua una serie di comandi predefiniti, come il download e l’esecuzione di un file.

Office malware

Qui, invece, bisognerebbe pensarci due volte prima di fare clic. Sempre che si abbia idea di che cosa sia cmd.exe…

Secondo Microsoft, che i ricercatori hanno contattato per comunicare il problema, non si tratterebbe però di una falla di sicurezza. Dalle parti di Redmond si sono limitati a rispondere che ne “avrebbero preso nota” per un’eventuale modifica in successive versioni dei software.

Per una volta, però, non hanno tutti i torti. Il messaggio, infatti è abbastanza chiaro ed è impossibile che un’attività pericolosa sia avviata senza che l’utente lo veda.

Il problema, però, è che buona parte degli utenti Windows non ha la minima idea di che cosa sia cmd e, anche se il formato exe dovrebbe metterli in guardia, rischiano di acconsentire tranquillamente alla richiesta e avviare così qualsiasi tipo di azione sul computer.



Articoli correlati

Altro in questa categoria