I ricercatori di Kaspersky Lab Boris Larin, Vlad Stolyarov e Alexander Liskin hanno presentato all’evento Kaspersky Security Analyst Summit (SAS) 2019 una ricerca dal titolo Catching multilayered zero-day attacks on MS Office incentrata sia sugli strumenti che aiutano a effettuare un’analisi malware e, allo stesso tempo, sia sul panorama attuale delle minacce che interessano Microsoft Office.

I ricercatori hanno confrontato la distribuzione degli utenti attaccati sulle piattaforme colpite nel periodo che va da due anni fa alla fine di quest’anno, scoprendo che i cybercriminali hanno abbandonato le vulnerabilità web per dedicarsi a quelle presenti su MS Office. Tuttavia, ciò che sorprende è la portata di questa inversione di tendenza: negli ultimi mesi MS Office è infatti diventata la piattaforma più colpita, con oltre il 70% del volume totale degli attacchi.

Dallo scorso anno sono iniziati ad affiorare numerosi exploit zero-day per MS Office. Si inizia di solito con una campagna mirata che alla fine diventa pubblica e passa a essere integrata in un documento dannoso. I tempi dell’intero processo si sono ridotti considerevolmente. Ad esempio, nel caso dell’exploit CVE-2017-11882, la prima vulnerabilità sull’equation editor riscontrata dagli esperti di Kaspersky Lab, una massiccia campagna di spam è iniziata lo stesso giorno della pubblicazione della proof of concept.

E lo stesso fenomeno riguarda anche altre vulnerabilità: nel momento in cui una vulnerabilità diventa di dominio pubblico, dopo pochi giorni appare il relativo exploit sul mercato nero. Gli stessi bug diventano sempre meno complessi e a volte i cybercriminali hanno bisogno solo di una descrizione dettagliata per creare un exploit perfettamente funzionante.

smokeloader

Tutto ciò viene confermato dalla classifica delle vulnerabilità più sfruttate nel 2018. I cybercriminali preferiscono bug semplici e logici e per questo le vulnerabilità CVE-2017-11882 e CVE-2018-0802 dell’equation editor sono i bug più sfruttati su MS Office. Per farla breve, sono vulnerabilità “affidabili” che si trovano in tutte le versioni di Word rilasciate negli ultimi 17 anni e, soprattutto, non è necessario avere delle capacità tecniche avanzate per creare un exploit che le riguardi. Ciò è dovuto al fatto che il codice binario dell’equation editor non disponeva delle moderne protezioni e mitigazioni che ci aspetteremmo in un’applicazione nel 2018. Un altro dettaglio interessante? Nessuna delle vulnerabilità più sfruttate si trova propriamente su MS Office, bensì in componenti relazionati.

Va detto che la superficie d’attacco di MS Office è estesa e che ci sono numerosi e complicati formati di file da tenere in considerazione, per non parlare dell’integrazione con Windows e dell’interoperabilità. Inoltre, molte decisioni prese da Microsoft durante la creazione di Office che al giorno d’oggi possono sembrare poco felici in realtà sono state pensate soprattutto in funzione della compatibilità, che altrimenti sarebbe andata perduta.

Solo nel 2018 i ricercatori hanno individuato diverse vulnerabilità zero-day sfruttate in the wild, tra cui la CVE-2018-8174 (la vulnerabilità che riguarda l’esecuzione del codice remoto del motore di Windows VBScript). Questa vulnerabilità è particolarmente interessante, in quanto l’exploit è stato trovato in un documento Word anche se l’exploit riguarda Internet Explorer.

“Quando individuiamo un oggetto dannoso, non ci limitiamo solo a classificarlo come pericoloso; l’oggetto in questione passa attraverso diversi livelli di sicurezza: la sandbox, ad esempio, è una tecnologia che dà ottimi risultati in questo senso”, si legge nello studio.

Nel campo della sicurezza informatica le sandbox vengono utilizzate per isolare un ambiente non sicuro da uno sicuro (o viceversa), per evitare che vengano sfruttata le vulnerabilità o per analizzare il codice dannoso. “La nostra sandbox è formata da un sistema di identificazione dei malware che attiva l’oggetto sospetto in una macchina virtuale con un sistema operativo dotato di tutte le funzionalità; qui, viene identificata l’attività sospetta dell’oggetto analizzandone il suo comportamento. Abbiamo sviluppato questo sistema qualche anno fa per uso interno, per poi diventare parte integrante della nostra Kaspersky Anti-Targeted Attack Platform”.