l'exploit

Un nuovo exploit di Office aggira una patch ufficiale Microsoft per distribuire il malware Formbook

Nel Patch Tuesday di settembre Microsoft aveva risolto una vulnerabilità critica in Trident, il motore di rendering di Internet Explorer usato anche dalla suite Office, ma gli attaccanti hanno trovato il modo di aggirare la patch. Ora la falla in MSHTML torna a rischio di esecuzione di codice da remoto. I consigli per difendersi

22 Dic 2021
C
Mirella Castigli

Giornalista

Neanche il Patch Tuesday ferma i cyber criminali: Microsoft aveva risolto una falla nel motore di rendering di Internet Explorer nel bollettino di sicurezza dello scorso 7 settembre. Tuttavia, gli attaccanti sono riusciti a bypassare la patch e adesso la stessa vulnerabilità critica nella componente MSHTML (nome in codice: Trident), utilizzato anche dalla suite Office per visualizzare contenuti Web nelle differenti applicazioni, torna a rischio exploit.

“Spesso le patch riducono di molto le probabilità di infezione o comunque di sfruttamento delle vulnerabilità”, commenta Gerardo Costabile, CEO di DeepCyber (Gruppo Maggioli): “In questo caso, purtroppo, questo approccio non è sufficiente. Gli attaccanti sono sempre più sofisticati e questo rende molto più complessa la postura della difesa, specialmente da parte dei soggetti meno specializzati”.

Internet Explorer, così gli attaccanti aggirano la patch

In effetti, in un recente report pubblicato dai ricercatori Andrew Brandt e Stephen Ormandy di SophosLabs, è stata analizzata una campagna di phishing che approfitta proprio di un nuovo exploit che bypassa la patch per la vulnerabilità di esecuzione di codice remoto CVE-2021-40444: l’obiettivo dei cyber criminali è quello di consegnare il malware Formbook. Anche in questo caso, la tecnica utilizzata per ottenere il controllo dei sistemi Windows vulnerabili è quella di utilizzare documenti Office malevoli in allegato alle e-mail malevoli.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

“Gli attachment rappresentano un’escalation dello sfruttamento del bug in CVE-2021-40444 e dimostrano che perfino una patch non sempre è in grado di mitigare le azioni di un attaccante motivato e dotato di sufficienti competenze”, hanno spiegato i ricercatori.

La campagna di phishing sfrutta la vulnerabilità per diffondere Cobalt Strike Beacons sui sistemi Windows compromessi. L’exploit della falla in MSHTML, secondo i ricercatori di SafeBreach Labs, risale allo scorso novembre in un’operazione condotta da attori iraniani che metteva nel mirino vittime che parlano il Farsi, attraverso un meccanismo di furto su base PowerShell in modo tale da rubare informazioni sensibili.

Ecco come l’attacco aggira la patch

Sophos dichiara che la campagna phishing bypassa la patch mediante “morphing”: il malware Formbook distribuisce proof-of-concept dell’exploit per Office. L’azienda di cyber security attribuisce il successo dell’attacco a una patch “troppo focalizzata in maniera eccessivamente stringente”.

“Nella iniziale versione degli exploit di CVE-2021-40444, il documento malevolo di Office recuperava un pacchetto payload del malware nel Microsoft Cabinet (o file .CAB). Quando, poi, la patch di Microsoft ha sanato la falla, gli attaccanti hanno in realtà scoperto che potevano usare una differente catena di attacco mediante archivi RAR artefatti”.

CAB-less 40444, come si chiama l’exploit, è durato 36 ore fra il 24 e il 25 ottobre, durante una campagna di spam in cui le vittime ricevevano le email contenenti il file RAR creato ad arte. L’archivio compresso artefatto include uno script in Windows Script Host (WSH) e un documento Word che, all’apertura, contatta un server remoto che ospita un JavaScript malevolo. Di conseguenza il codice JavaScript sfrutta il documento Word come vettore per lanciare lo script WSH per eseguire un comando embedded basato su PowerShell nel file RAR per recuperare il payload del malware Formbook da un sito controllato dagli attaccanti.

Come difendersi da attacchi sofisticati

“Continuare a seguire gli aggiornamenti dei produttori di hardware e software resta un mantra sul quale è necessario non abbassare la guardia”, mette in evidenza Gerardo Costabile: “La protezione, però, deve essere il più possibile multi-approccio, ovvero contestualmente appare sempre più importante utilizzare sistemi di protezione EDR – endpoint detection & response – o altre soluzioni più sofisticate – ad esempio tecnologie NDR, Network Detection & Response. Il tutto, come sempre, con la consueta consapevolezza e ‘disciplina cyber’”.

Serve una protezione multi-strato: “Quando viene a mancare uno dei fattori di protezione”, conclude l’esperto di cybersecurity, “questo approccio consente di gestire meglio gli eventi anomali, inserendo – come se fosse a strati – un insieme di sistemi che lavorano nello stesso ecosistema, in modo da avere, ove possibile una maggiore efficacia”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4