Liat Hayun, Director, Product Management di Palo Alto Networks, illustra i 5 modi in cui Office può essere modificato e utilizzato per compromettere il sistema.
Tutti facciamo largo uso dei documenti di Microsoft Office, che si tratti di file di lavoro, di ricevute elettroniche o di contratti di affitto di un appartamento. Si usano, sono utili e per questo siamo portati a dare loro fiducia, ad esempio aprendoli quando arrivano come allegati alla posta elettronica.
Proprio per questo possono essere pericolosi. I cybercriminali infatti, consapevoli che molte persone apriranno qualsiasi documento, anche quelli provenienti da fonti non attendibili, li scelgono per compromettere un sistema.
Palo Alto Networks mette in luce cinque tra i principali metodi in cui i documenti Office possono essere modificati e utilizzati per compromettere un endpoint Windows.
1) Le macro: Sono la via più diretta per “armare” un documento Office. Le applicazioni Office hanno un motore script built-in che può eseguire script VBA (Visual Basic for Applications). Questi script si possono attivare in modo immediato all’apertura del documento, senza che venga richiesta alcuna interazione da parte dell’utente (supponendo che abbia attivato le macro in precedenza) ed eseguono codici pericolosi nel sistema.
Se l’utente non ha abilitato le macro, apparirà una finestra pop-up con la richiesta di attivazione. Il pop-up è uno dei tanti meccanismi di sicurezza aggiunti da Microsoft per mitigare i rischi delle macro, che forzerà anche un’estensione di file diversa (.docm invece di .docx per i nuovi documenti che contengono macro).
Nonostante queste misure, gli utenti che scelgono di aprire i file e di abilitarne il contenuto, consentono alle macro di continuare a essere un vettore tradizionale in attacchi semplici o più vasti per distribuire ransomware, come Emotet, e in quelli più sofisticati come quello di Sofacy Group.
Come si nota dall’esempio, gli aggressori tentavano di convincere gli utenti a disabilitare le misure di sicurezza aggiunte da Microsoft utilizzando tecniche di ingegneria sociale, per persuadere gli utenti ad abilitare il contenuto al fine di visualizzare il documento completo. I cybercriminali di Sofacy avevano semplicemente scritto il testo in colore bianco, ed era quindi già presente prima che l’utente abilitasse le macro, ma semplicemente non era visibile.
2) File Flash incorporati: in aggiunta a funzionalità built-in come le macro, i documenti Office possono incorporare elementi esterni, come i file Adobe Flash. Questi elementi vengono man mano gestiti dal software più appropriato, quindi anche eventuali vulnerabilità del software possono essere sfruttate, includendole nel contenuto Adobe Flash presente nel documento Office.
3) Equation Editor di Microsoft: nei documenti è possibile inserire equazioni che saranno analizzate da Equation Editor di Microsoft, un programma che permette di scrivere equazioni in modo facile.
Come per Adobe Flash, le vulnerabilità presenti nell’equation editor possono essere sfruttate da documenti Office pericolosi. Da tenere in considerazione che se Equation Editor opera in autonomia (eqnedt3.exe), le misure di sicurezza specifiche di Microsoft Office, come EMET e Windows Defender Exploit, non sono attive in modo predefinito, in quanto proteggono solo i processi di Microsoft Office (come winword.exe).
4) OLE (Object Linking and Embedded) e Handler HTA: sono meccanismi utilizzati dai documenti Office per creare riferimenti e includere altri file. Possono essere utilizzati per compromettere un endopoint nei seguenti modi:
-un documento Word viene incorporato con un OLE2 embedded link object.
-Una volta aperto il documento, il processo Word (winword.exe) invia una richiesta http a un server remoto per recuperare un file HTA con uno script pericoloso.
-Winword.exe cercherà quindi il gestore del file per applicazione/hta tramite un oggetto COM, permettendo all’applicazione Microsoft HTA (mshta.exe) di caricare ed eseguire lo script pericoloso.
Questa funzionalità è stata utilizzata in un una vulnerabilità risolta da Microsoft a settembre 2017, in cui era presente un codice di esecuzione remoto Microsoft Office/WordPad sfruttato in differenti campagne, come OilRig.
I cybercriminali hanno scoperto che anche i file RTF possono eseguire OLE object “text/html” di tipo mime, utilizzando MSHTML. Questo significa che i documenti RTF hanno la stessa superficie di attacco di Internet Explorer.
Le conclusioni
Gli attacchi che sfruttano documenti Office esistono da oltre 10 anni, ma ora stiamo assistendo a un loro incremento di popolarità e complessità, che potrebbe essere causato dalla difficoltà di sfruttare i browser, diventati più robusti grazie al lavoro degli sviluppatori.
Indipendentemente dalle motivazioni, è fondamentale che le aziende sappiano come difendersi da queste tecniche comuni. In ogni caso, è importante dotarsi di una soluzione di protezione degli endpoint che offra differenti metodi di prevenzione dal malware e dai possibili exploit.