Non tutti gli interventi della conferenza SAS 2019 sono dedicati ad attacchi APT sofisticati, alcuni si concentrano sul duro lavoro quotidiano dei nostri ricercatori antimalware. I nostri esperti Boris Larin, Vlad Stolyarov e Alexander Liskin hanno preparato una ricerca dal titolo “”Catching multilayered zero-day attacks on MS Office” (Individuare gli attacchi zero-day multilivello su MS Office). In questo lavoro, i ricercatori si sono concentrati sugli strumenti che aiutano a effettuare un’analisi malware e, allo stesso tempo, focalizzano la loro attenzione sul panorama attuale delle minacce che interessano Microsoft Office.
In soli due anni, il panorama delle minacce è cambiato considerevolmente; i nostri esperti hanno confrontato la distribuzione degli utenti attaccati sulle piattaforme colpite, nel periodo che va da due anni fa alla fine di quest’anno. E hanno scoperto che i cybercriminali hanno abbandonato le vulnerabilità web per dedicarsi a quelle presenti su MS Office. Tuttavia, ciò che sorprende è la portata di questa inversione di tendenza: negli ultimi mesi, MS Office è diventata la piattaforma più colpita, con oltre il 70% del volume totale degli attacchi.
Dallo scorso anno sono iniziati ad affiorare numerosi exploit zero-day per MS Office. Si inizia di solito con una campagna mirata che alla fine diventa pubblica e passa a essere integrata in un documento dannoso. I tempi dell’intero processo si sono ridotti considerevolmente. Ad esempio, nel caso dell’exploit CVE-2017-11882, la prima vulnerabilità sull’equation editor riscontrata dai nostri esperti, una massiccia campagna di spam è iniziata lo stesso giorno della pubblicazione della proof of concept. E lo stesso fenomeno riguarda anche altre vulnerabilità: nel momento in cui una vulnerabilità diventa di dominio pubblico, in questione di giorni appare il relativo exploit sul mercato nero. Gli stessi bug diventano sempre meno complessi e a volte i cybercriminali hanno bisogno solo di una descrizione dettagliata per creare un exploit perfettamente funzionante.
Tutto ciò viene confermato dalla classifica delle vulnerabilità più sfruttate nel 2018: i cybercriminali preferiscono bug semplici e logici, per questo le vulnerabilità CVE-2017-11882 e CVE-2018-0802 dell’equation editor sono i bug più sfruttati su MS Office. Per farla breve, sono vulnerabilità “affidabili” che si trovano in tutte le versioni di Word rilasciate negli ultimi 17 anni e, soprattutto, non è necessario avere delle capacità tecniche avanzate per creare un exploit che le riguardi. Ciò è dovuto al fatto che il codice binario dell’equation editor non disponeva delle moderne protezioni e mitigazioni che ci aspetteremmo in un’applicazione nel 2018.
Un dettaglio interessante: nessuna delle vulnerabilità più sfruttate si trova propriamente su MS Office, bensì in componenti relazionati.
Com’è possibile che si verifichino ancora situazioni del genere?
Va detto che la superficie d’attacco di MS Office è estesa, ci sono numerosi e complicati formati di file da tenere in considerazione, per non parlare dell’integrazione con Windows e dell’interoperabilità. E, soprattutto, dal punto di vista della sicurezza, molte decisioni prese da Microsoft durante la creazione di Office che al giorno d’oggi possono sembrare poco felici, in realtà sono state pensate soprattutto in funzione della compatibilità, che altrimenti sarebbe andata perduta.
Solo nel 2018, abbiamo individuato diverse vulnerabilità zero-day sfruttate in the wild, tra cui la CVE-2018-8174 (la vulnerabilità che riguarda l’esecuzione del codice remoto del motore di Windows VBScript). Questa vulnerabilità è particolarmente interessante, in quanto l’exploit è stato trovato in un documento Word anche se l’exploit riguarda Internet Explorer. Per maggiori dettagli, potete leggere il nostro post su Securelist.
Come individuiamo le vulnerabilità
I prodotti di sicurezza per endpoint [KESB placeholder] di Kaspersky Lab dispongono di funzionalità euristiche particolarmente avanzate per l’identificazione delle minacce diffuse mediante i documenti di MS Office. Ed è solo uno dei primi livelli di identificazione. Il motore euristico è a conoscenza di tutti i formati dei file e degli offuscamenti dei documenti, agendo da prima linea di difesa. Tuttavia, quando individuiamo un oggetto dannoso, non ci limitiamo solo a classificarlo come pericoloso; l’oggetto in questione passa attraverso diversi livelli di sicurezza: la sandbox, ad esempio, è una tecnologia che dà ottimi risultati in questo senso.
Nel campo della sicurezza informatica, le sandbox vengono utilizzate per isolare un ambiente non sicuro da uno sicuro (o viceversa), per evitare che vengano sfruttata le vulnerabilità o per analizzare il codice dannoso. La nostra sandbox è formata da un sistema di identificazione dei malware che attiva l’oggetto sospetto in una macchina virtuale con un sistema operativo dotato di tutte le funzionalità; qui, viene identificata l’attività sospetta dell’oggetto analizzandone il suo comportamento. Abbiamo sviluppato questo sistema qualche anno fa per uso interno, per poi diventare parte integrante della nostra Kaspersky Anti-Targeted Attack Platform.
Microsoft Office è un obiettivo molto interessante per i cybercriminali e lo sarà sempre. I cybercriminali mirano agli obiettivi più facili come le funzionalità più obsolete. Per proteggere la vostra azienda, vi consigliamo di avvalervi di soluzioni dall’efficacia provata, che abbiano individuato un lungo elenco di CVE.