{"id":94602,"date":"2018-11-19T02:17:18","date_gmt":"2018-11-19T10:17:18","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=94602"},"modified":"2018-11-19T02:17:18","modified_gmt":"2018-11-19T10:17:18","slug":"report-sulle-minacce-documenti-di-office-possono-essere-pericolosi-ma-continueremo-usarli","status":"publish","type":"post","link":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/2018\/11\/report-sulle-minacce-documenti-di-office-possono-essere-pericolosi-ma-continueremo-usarli\/?lang=it","title":{"rendered":"REPORT SULLE MINACCE: I DOCUMENTI DI OFFICE POSSONO ESSERE PERICOLOSI (ma continueremo a usarli)"},"content":{"rendered":"

Tutti noi utilizziamo documenti di Microsoft Office. Ci occorrono per lavoro, come ricevute elettroniche, per un contratto di affitto. Anche per questo motivo, con ogni probabilit\u00e0, apriremo un documento di Office ricevuto in allegato nella nostra email. Consapevoli che molti di noi apriranno qualsiasi tipo di documento, anche quelli provenienti da fonti non attendibili, i criminali informatici scelgono spesso questi file per attaccare e compromettere un sistema.<\/p>\n

In questo report, illustriamo cinque diverse modalit\u00e0 di manipolazione fraudolenta dei documenti di Office, utilizzate per attaccare e compromettere un endpoint Windows. Di alcune abbiamo gi\u00e0 scritto in precedenza, altre sono inedite.<\/p>\n

 <\/p>\n

Macro<\/strong><\/p>\n

Per un criminale informatico, le macro sono il metodo pi\u00f9 immediato per utilizzare i documenti di Office come arma. Le applicazioni di Office hanno un motore integrato che pu\u00f2 eseguire script VBA (Visual Basic for Applications). L'esecuzione di uno script, contenente codice maligno, pu\u00f2 avvenire anche all'apertura del documento, senza alcuna interazione dell'utente (se le macro sono state in precedenza abilitate). Se l'utente non ha abilitato le macro, una finestra pop-up chiede all'utente di farlo con un clic. La finestra pop-up \u00e8 uno dei vari meccanismi di sicurezza introdotti da Microsoft per ridurre il rischio associato alle macro. Microsoft impone anche una diversa estensione del file (.docm invece di .docx) per i nuovi documenti che contengono macro. Nonostante queste misure, gli utenti continuano ad aprire questi file e ad abilitarne il contenuto. Le macro rimangono tuttora un comune vettore di attacco, sia per infezioni ransomware semplici e generiche come Emotet<\/a>, sia per azioni pi\u00f9 sofisticate come quella della campagna Sofacy<\/a>.<\/p>\n

\"\"<\/span><\/div><\/p>\n

Figura 1. Il documento Sofacy prima e dopo l'abilitazione del contenuto<\/p>\n

Come si vede nell'esempio, i criminali inducono gli utenti a disabilitare i meccanismi di sicurezza introdotti da Microsoft utilizzando l'ingegneria sociale, promettendo di mostrare l'intero documento solo se si accetta di abilitare i contenuti. Nell'esempio Sofacy, i criminali hanno semplicemente scelto il bianco come colore del font. Il testo \u00e8 quindi gi\u00e0 presente prima dell'abilitazione delle macro ma \u00e8 stato reso invisibile.<\/p>\n

 <\/p>\n

File Flash incorporati<\/strong><\/p>\n

Oltre a funzionalit\u00e0 native come le macro, i documenti di Office possono anche incorporare oggetti esterni come i file di Adobe Flash. La gestione di questi oggetti viene delegata al software di origine. In tal modo, qualsiasi vulnerabilit\u00e0 di Adobe Flash pu\u00f2 essere sfruttata per un attacco dal contenuto incorporato nel documento Office. Un tale vettore di attacco \u00e8 stato utilizzato su CVE-2018-4878<\/a><\/u>, una falla Zero-Day di Adobe Flash Player sfruttata da file nocivi SWF incorporati in documenti Excel. In questi tipi di attacchi, i file Excel incorporano contenuti Adobe Flash che sfruttano la vulnerabilit\u00e0 di Flash per eseguire un codice shell nocivo.<\/p>\n

 <\/p>\n

Microsoft Equation Editor<\/strong><\/p>\n

Analogamente a quanto visto per i file di Adobe Flash, i documenti di Office possono anche incorporare oggetti creati da Microsoft Equation Editor, un programma che permette di scrivere equazioni matematiche.<\/p>\n

\"\"<\/span><\/div><\/p>\n

Figura 2. \u00a0Microsoft Equation Editor<\/p>\n

Come nell'esempio precedente, le vulnerabilit\u00e0 dell'Equation Editor possono essere sfruttate attraverso i documenti di Office. Abbiamo visto recentemente esempi del genere, con l'exploit della vulnerabilit\u00e0 CVE-2017-11882<\/a><\/u> che ha preparato la strada ad altri attacchi, come CVE-2018-0802<\/a><\/u>. In entrambi i casi, vengono sfruttate falle nell'Equation Editor, che permettono ai criminali di eseguire codice remoto quando il documento di Office viene aperto dall'utente. Anche se non sono state sfruttate, simili vulnerabilit\u00e0 in Microsoft Equation Editor, come la CVE-2018-0807<\/a><\/u> e la CVE-2018-0798<\/a><\/u>, sono state identificate dai ricercatori di Unit 42.<\/p>\n

Occorre sottolineare che Microsoft Equation Editor esegue un processo a s\u00e9 stante (eqnedt32.exe), pertanto protezioni specifiche per Microsoft Office come EMET e Windows Defender Exploit Guard non sono efficaci in impostazione predefinita, poich\u00e9 proteggono solo i processi di Office (come winword.exe).<\/p>\n

 <\/p>\n

Oggetti OLE e gestori HTA<\/strong><\/p>\n

Gli oggetti OLE e gli handler HTA sono meccanismi utilizzati dai documenti Office per fare riferimento ad altri documenti da includere nel loro contenuto. Possono essere utilizzati per compromettere un endpoint in questo modo:<\/p>\n