Scoperte tre vulnerabilità nella suite Microsoft Office

DiMarco Nisticò

PUBBLICATO IL 18 Gen 2018 ALLE 19:14 - AGGIORNATO IL 4 Aprile 2020 ALLE 17:57 #sicurezza

Sembra che il 2018 sia iniziato con il piede sbagliato. A cadere nelle grinfie degli hacker c’è anche Microsoft Office.

Non bastavano Meltdown e Spectre a creare scompiglio tra gli utenti. Ecco arrivare nuovi problemi per tutti colori che usufruiscono della suite Microsoft Office. Sembra in fatti che una botnet sia in grado di infettare i dispositivi che utilizzano questo software sfruttando tre differenti vulnerabilità.

Nome in codice: Zyklon

Questa botnet non è stata creata precisamente per colpire gli utenti Microsoft Office. Infatti già dal 2016 è responsabile di diversi attacchi informatici a servizi finanziari e di telecomunicazioni. Per circa due anni però non se ne sentì più parlare. Almeno fino ad oggi.

Zyklon, questo è il nome della botnet, è una botnet HTTP che sfrutta una rete Tor per comunicare con il server C&C (command-and-control), permettendo di rubare password, email e qualsiasi altro dato sensibile. Oltre a questo può eseguire specifici plugin, servizi di mining in background e attacchi DDoS. Venne persino trovata in vendita ad un prezzo di 75$ per la versione normale e 125$ per la versione con Tor attivato.

Secondo un report di FireEye, Zyklon utilizza uno script PowerShell per poter scaricare il payload finale dal server di riferimento. Per rinfrescarvi la memoria, un payload è un programma che estende le funzionalità di un virus informatico, permettendo di eseguire ulteriori istruzioni oltre a quelle già permesse dal malware.

Come funziona Zyklon

Funzionamento di Zyklon su Microsoft Office

La procedura che utilizza Zyklon per poter infettare i dispositivi segue tre passaggi chiave:

  1. Il malcapitato riceve un’email di spam contenente un archivio ZIP con un file di tipo DOC.
  2. Il file rende l’ambiente vulnerabile affinchè lo script possa scaricare il payload (denominato Pause.ps1). Una volta aperto il file, il payload prenderà il sopravvento.
  3. Infine lo script PowerShell è responsabile del download del payload finale, che permetterà di sfruttare le falle per rubare ciò che vuole.

[adsense]

Di seguito trovate le tre falle di sicurezza di Microsoft Office scoperte dal team di FireEye:

Nome in codice Informazioni
.NET Framework RCE Vulnerability (CVE-2017-8759) Il sistema viene infettato tramite un file malevolo, inviato al malcapitato tramite email. Microsoft ha risolto questa falla con una patch di Settembre.
Microsoft Office RCE Vulnerability (CVE-2017-11882) Vulnerabilità che permette agli hacker di eseguire codice malevolo senza alcuna conferma da parte dell’utente dopo aver aperto un file sospetto, come se non venisse riconosciuto come tale. La falla è stata risolta con una patch a Novembre.
Dynamic Data Exchange Protocol (DDE Exploit) Il DDE è una funzione di Microsoft Office che permette la condivisione degli stessi dati tra due applicazioni in esecuzione. Gli hacker sfruttano questa funzionalità per condividere codice malevolo.

Purtroppo sono vulnerabilità presenti già da anni nei prodotti Microsoft Office e solo da qualche mese sono state risolte. Però gli hacker continuano a sfruttare il caro e vecchio spam per trarre in inganno gli utenti meno consapevoli. In questo articolo vi abbiamo dato un’ulteriore prova di quanto una falla di sicurezza sia ben più pericolosa di quel che sembra. Non rimandate mai eventuali aggiornamenti della sicurezza. Per quanto sia un’operazione spesso macchinosa e che può far perdere parecchio tempo, è essenziale per evitare proprio brutte sorprese. Controllate soprattutto qualsiasi contenuto che vi viene inviato per email.

Di Marco Nisticò

Sviluppatore informatico, cerco sempre di stare al passo con i tempi in un mondo ormai circondato dalla tecnologia.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.