REPORT SULLE MINACCE: I DOCUMENTI DI OFFICE POSSONO ESSERE PERICOLOSI (ma continueremo a usarli)

This post is also available in: English (Inglese) 繁體中文 (Cinese tradizionale) Deutsch (Tedesco) 한국어 (Coreano) Nederlands (Olandese) Türkçe (Turco) Español (Spagnolo)

Tutti noi utilizziamo documenti di Microsoft Office. Ci occorrono per lavoro, come ricevute elettroniche, per un contratto di affitto. Anche per questo motivo, con ogni probabilità, apriremo un documento di Office ricevuto in allegato nella nostra email. Consapevoli che molti di noi apriranno qualsiasi tipo di documento, anche quelli provenienti da fonti non attendibili, i criminali informatici scelgono spesso questi file per attaccare e compromettere un sistema.

In questo report, illustriamo cinque diverse modalità di manipolazione fraudolenta dei documenti di Office, utilizzate per attaccare e compromettere un endpoint Windows. Di alcune abbiamo già scritto in precedenza, altre sono inedite.

Macro

Per un criminale informatico, le macro sono il metodo più immediato per utilizzare i documenti di Office come arma. Le applicazioni di Office hanno un motore integrato che può eseguire script VBA (Visual Basic for Applications). L'esecuzione di uno script, contenente codice maligno, può avvenire anche all'apertura del documento, senza alcuna interazione dell'utente (se le macro sono state in precedenza abilitate). Se l'utente non ha abilitato le macro, una finestra pop-up chiede all'utente di farlo con un clic. La finestra pop-up è uno dei vari meccanismi di sicurezza introdotti da Microsoft per ridurre il rischio associato alle macro. Microsoft impone anche una diversa estensione del file (.docm invece di .docx) per i nuovi documenti che contengono macro. Nonostante queste misure, gli utenti continuano ad aprire questi file e ad abilitarne il contenuto. Le macro rimangono tuttora un comune vettore di attacco, sia per infezioni ransomware semplici e generiche come Emotet, sia per azioni più sofisticate come quella della campagna Sofacy.

Figura 1. Il documento Sofacy prima e dopo l'abilitazione del contenuto

Come si vede nell'esempio, i criminali inducono gli utenti a disabilitare i meccanismi di sicurezza introdotti da Microsoft utilizzando l'ingegneria sociale, promettendo di mostrare l'intero documento solo se si accetta di abilitare i contenuti. Nell'esempio Sofacy, i criminali hanno semplicemente scelto il bianco come colore del font. Il testo è quindi già presente prima dell'abilitazione delle macro ma è stato reso invisibile.

File Flash incorporati

Oltre a funzionalità native come le macro, i documenti di Office possono anche incorporare oggetti esterni come i file di Adobe Flash. La gestione di questi oggetti viene delegata al software di origine. In tal modo, qualsiasi vulnerabilità di Adobe Flash può essere sfruttata per un attacco dal contenuto incorporato nel documento Office. Un tale vettore di attacco è stato utilizzato su CVE-2018-4878, una falla Zero-Day di Adobe Flash Player sfruttata da file nocivi SWF incorporati in documenti Excel. In questi tipi di attacchi, i file Excel incorporano contenuti Adobe Flash che sfruttano la vulnerabilità di Flash per eseguire un codice shell nocivo.

Microsoft Equation Editor

Analogamente a quanto visto per i file di Adobe Flash, i documenti di Office possono anche incorporare oggetti creati da Microsoft Equation Editor, un programma che permette di scrivere equazioni matematiche.

Figura 2.  Microsoft Equation Editor

Come nell'esempio precedente, le vulnerabilità dell'Equation Editor possono essere sfruttate attraverso i documenti di Office. Abbiamo visto recentemente esempi del genere, con l'exploit della vulnerabilità CVE-2017-11882 che ha preparato la strada ad altri attacchi, come CVE-2018-0802. In entrambi i casi, vengono sfruttate falle nell'Equation Editor, che permettono ai criminali di eseguire codice remoto quando il documento di Office viene aperto dall'utente. Anche se non sono state sfruttate, simili vulnerabilità in Microsoft Equation Editor, come la CVE-2018-0807 e la CVE-2018-0798, sono state identificate dai ricercatori di Unit 42.

Occorre sottolineare che Microsoft Equation Editor esegue un processo a sé stante (eqnedt32.exe), pertanto protezioni specifiche per Microsoft Office come EMET e Windows Defender Exploit Guard non sono efficaci in impostazione predefinita, poiché proteggono solo i processi di Office (come winword.exe).

Oggetti OLE e gestori HTA

Gli oggetti OLE e gli handler HTA sono meccanismi utilizzati dai documenti Office per fare riferimento ad altri documenti da includere nel loro contenuto. Possono essere utilizzati per compromettere un endpoint in questo modo:

• Un documento Microsoft Word è incorporato tramite un oggetto link OLE2
• Una volta aperto il documento, il processo Word (winword.exe) invia una richiesta HTTP a un server remoto per prelevare un file HTA con uno script nocivo
• exe cerca quindi il gestore file per l’applicazione/hta tramite un oggetto COM, che chiede all'applicazione HTA di Microsoft (mshta.exe) di caricare ed eseguire lo script nocivo.

Questa funzionalità è stata usata nell'exploit della CVE-2017-0199, una vulnerabilità nell'esecuzione di codice remoto (RCE) di Microsoft Office/WordPad, risolta da Microsoft con una patch nel settembre 2017 e sfruttata in diversi attacchi, come nella campagna OilRig.

Figura 3. I file RTF appaiono esattamente come normali documenti Word

Oltre alla citata vulnerabilità OLE & HTA, i criminali hanno scoperto che anche i file RTF possono eseguire oggetti OLE di tipo mime 'text/html' utilizzando il MSHTML. Ciò significa che i file RTF espongono la stessa superficie di attacco di Internet Explorer.

Sfruttando questa vulnerabilità logica, nota come CVE-2018-8174, i criminali informatici possono eseguire codice arbitrario HTML/JavaScript/VBScript. Anche se tale codice è eseguito in una "sandbox" (non può eseguire nuovi processi, scrivere nel filesystem, ecc.), come altro codice eseguito da Internet Explorer, questa falla può essere usata per sfruttare altre vulnerabilità, come una corruzione di memoria UAF nel motore VBScript, per eseguire codice arbitrario nel contesto dell'applicazione Word (winword.exe), e quindi prendere controllo del sistema.

Conclusione

Nonostante gli attacchi basati sui documenti siano abbastanza comuni da una decina d'anni, abbiamo recentemente assistito a una crescita della loro frequenza e complessità. Tale crescita è forse dovuta al fatto che gli exploit sui browser sono diventati più difficili, per effetto delle misure di sicurezza adottate da questi software. A prescindere dalle ragioni, è essenziale che le aziende sappiano come difendersi da queste tecniche comuni.

Prevenzione

Traps Advanced Endpoint Protection di Palo Alto Networks offre diversi metodi di prevenzione da malware ed exploit per respingere queste minacce:

• Analisi delle macro: Traps esamina ogni documento di Office alla ricerca di macro nocive utilizzando sia il cloud di intelligenza delle minacce WildFire, sia le funzionalità locali di machine learning e può anche impedire all'utente di aprire i file maligni.
• Prevenzione degli exploit: le ampie funzionalità di prevenzione degli exploit di Traps neutralizzano i tentativi di attacco impedendo che il codice shell nocivo sia eseguito sull'endpoint.
• Per impostazione predefinita, Traps si occupa del monitoraggio delle applicazioni di Office e assicura che i processi legittimi non siano sfruttati per attività illegali.