venerdì 13 ottobre 2017

MS Word: protocollo DDE sfruttato per l'esecuzione di un malware


Gli autori di malware non hanno necessariamente bisogno di ingannare gli utenti affinchè abilitino le macro per avviare del codice dannoso. Esiste infatti una tecnica alternativa, che sfrutta un'altra funzione legittima di Office. 

Recentemente è stata infatti scoperta una campagna che diffonde documenti di Microsoft Word contenenti malware in grado di eseguire il codice sul dispositivo che gli hacker intendono colpire senza però bisogno di richiedere l’abilitazione delle macro o di compromettere la memoria.

La funzione legittima che permette questo si chiama Dynamic Data Exchange (DDE).

Cosa è il Dynamic Data Exchange (DDE)?


Il protocollo Dynamic Data Exchange (DDE) è uno dei metodi con i quali Microsoft Office consente a due applicazioni, in esecuzione contemporaneamente, di condividere gli stessi dati. Il protocollo può essere utilizzato dalle applicazioni per trasferimenti di dati unici e per effettuare scambi continui, nel corso dei quali le applicazioni inviano aggiornamenti reciprocamente. Migliaia di applicazioni, tra cui Microsoft Excel, MS Word e Virtual Basic, utilizzano il protocollo DDE. E' una vecchia caratteristica di Microsoft (che è stata rimpiazzata dal più nuovo Object Linking and Embedding - OLE), ma è ancora supportata dalle applicazioni Office. 

Come funziona l'attacco DDE?
Ridotto all'osso, DDE non è altro cghe un campo personalizzabile che un utente può inserire in un documento: questo campo consente all'utente di inserire alcune semplici istruzioni, ad esempio la location dove prelevare i dati e quali dati inserire nel nuovo documento.

I documenti Word diffusi con questa campagna sono dannosi perchè il loro campo DDE, invece di aprire un'altra app Office, apre un prompt dei comandi e esegue codice dannoso.

In cricostanze normali, le app Office mostrerebbero ben due avvisi di sicurezza. Il primo è un avviso riguardo al fatto che il documento contiene collegamenti verso altri file, mentre il secondo riguarda un errore riguardo l'apertura di un prompt dei comandi da remoto.



Secondi i ricercatori di SensePost, che hanno individuato questo attacco, il secondo popup può essere soppresso, limitando gli avvisi soltanto al primo. Questo ovviamente incentiva molto le potenzialità dell'attacco DDE. Gli utenti abituati infatti a lavorare regolarmente con file DDE-linked sono portati a chiudere il primo popup.

MS Word DDE viene attivamente sfruttata in the wild
Questa tecnica è stata individuata mentre veniva attivamente utilizzata dagli hacker in the wild, allo scopo di colpire varie organizzazioni utilizzando email di spear phishing. Le email sono state composte in modo tale da farle apparire come se fossero inviate dalla Security and Exchange Commission (SEC), cercando così di convincer gli utenti ad aprirli. Le email contengono un allegato dannoso (MS Word) che, con l'apertura, dà inizio ad un sofisticato processo di infezione capace di determinare un’infezione multipla del malware DNSMessenger.

Nel marzo scorso gli attaccanti avevano già distribuito DNSMessenger un complesso remote access trojan (RAT) fileless che usa DNS per eseguire comandi dannosi in PowerShell. 

Una volta aperta l’email, le vittime vengono informate del fatto che il messaggio contiene il collegamento a file esterni e che è necessario consentire o negare il recupero e la successiva visualizzazione di tali contenuti. Il documento dannoso, una volta ricevuto il consenso dell’utente, comunica direttamente con l’attaccante in modo da recuperare il codice che verrà eseguito per dare inizio all’infezione del malware DNSMessenger.

Come proteggersi ed individuare gli attacchi DDE di MS Word
L’aspetto più preoccupante dell’intera vicenda è il fatto che Microsoft non consideri tutto ciò come una vulnerabilità di sicurezza: contattata dai ricercatori di SensePost, ha risposto che non è possibile considerare l'attacco DDE come una problematica di sicurezza dato che Office mostra un avviso prima dell'apertura del file. Spiegano cioè che è solo un utilizzo distorto di una funzione legittima. 

Tuttavia, anche se non esiste un modo diretto per disabilitare l’esecuzione del codice DDE, gli utenti possono monitorare i registri relativi agli eventi di sistema e verificarne quindi il possibile sfruttamento.

In ogni caso la soluzione migliorare, al fine di proteggersi di fronte ad eventuali attacchi malware, è sempre quella di guardarsi bene dall’aprire i link o scaricare gli allegati contenuti in messaggi di posta elettronica sconosciuti, inattesi o indesiderati.

Qui è possibile visualizzare un report dettagliato di Cisco Talos su questo attacco

Nessun commento:

Posta un commento