Alfonso Maruccia

Microsoft Office, un attacco che non si può fermare

Una nuova minaccia fa un uso illegittimo di una funzionalità legittima di Windows, un problema che secondo Microsoft non è un problema e che i cyber-criminali sono ben felici di sfruttare senza il disturbo di patch correttive

Microsoft Office, un attacco che non si può fermareRoma - I ricercatori hanno scovato una campagna malevola progettata per abusare di una funzionalità del tutto legittima dei sistemi operativi Windows, una tecnologia presente da tempo sugli OS di Microsoft e che Redmond stessa ha detto di non voler (o forse di non poter) rimaneggiare con patch correttive di sorta. Il bug non è un bug ma una funzionalità, e funziona come dovrebbe. Sono i cyber-criminali a essere evidentemente troppo furbi.

La tecnologia in oggetto si chiama Dynamic Data Exchange (DDE), e ha lo scopo di facilitare il trasferimento di dati tra applicazioni differenti. Nel caso di Office, ad esempio, DDE può essere usata per aggiornare una tabella integrata su un documento Word estrapolando i dati necessari da un foglio di calcolo Excel ogni volta che si apre il suddetto word processor.

DDE è un meccanismo in circolazione sin dagli anni '90, e già stato sostituito da tecnologie più moderne ed è noto per essere uno dei tanti strumenti adoperati dai cyber-criminali per indurre l'utente ad aprire un file malevolo e infettare il computer.
Nel caso di DDE, quando si prova ad aprire una risorsa esterna viene visualizzato un messaggio di avviso, e nel caso in cui tale risorsa sia rappresentata da un file eseguibile scatta un secondo avviso da cui l'utente deve confermare l'apertura del Prompt dei Comandi per l'esecuzione del programma esterno.

Avviso attacco DDE Word

Questo secondo avviso può però essere soppresso attraverso metodi "creativi", dicono i ricercatori di SensePost, e a quel punto l'eventualità che un malware venga mandato in esecuzione dall'ignaro utente - soprattutto negli ambienti in cui l'uso della tecnologia DDE è un fatto abituale - si fa sempre meno remota.

SensePost ha contattato Microsoft per avvertirla del problema, ma la risposta di Redmond è stata negativa: la tecnologia DDE funziona secondo specifiche, quindi gli attacchi che abusano del meccanismo potranno continuare a farlo senza il rischio di una patch correttiva.



I ricercatori di sicurezza si sono divisi sulla decisione formulata da Microsoft, certo è che il problema non è destinato a sparire molto presto ed è tutto fuorché teorico: gli attacchi abusa-DDE sono già in corso, per di più ad opera dello stesso gruppo di hacker (FIN7) già noto per la minaccia tecnicamente sofisticata nota come DNSMessenger.

Alfonso Maruccia

fonte immagine
Notizie collegate
51 Commenti alla Notizia Microsoft Office, un attacco che non si può fermare
Ordina
  • 1)
    There are a few(?) different ways payloads can be delivered through Microsoft Office documents, including macros, OLE embedding, Addins, Actions and DDE. A loro volta possono contenere/invocare VBscript, exe, powershell.

    e questo dagli anni... sempreCon la lingua fuori quindi ha ragione M$, non sono bug, ma features.

    2) DDE e altro crapware per ovvi motivi di compatibilita' e' presente anche in libreoffice openoffice. sarei curioso di provare sotto linux che accade

    3) l'esecuzione che porta a warning 'non sospetto' (the document contain links that blabla) ,si puo' stoppare cavando la spunta ad una delle millemila opzioni di Word.. \option\Advanced\ <update automatic link at open>
    non+autenticato
  • Intercomunicazione fra processi... ambiguo. Per dirla tutta una bella sequoia nel deretano.

    Però lo possono disabilitare, ovvio.
    non+autenticato
  • Pirla. I BSD non hanno dbus abilitato e nemmeno installato. C'è solo come port o package. Pirla. Il tronco nel deretano mi sa che t'è arrivato fino al cervello.
    non+autenticato
  • Dove hai letto preinstallato imbecille.
    non+autenticato
  • Coglione, non fare il finto tonto, lo hanno capito tutti che intendevi preinstallato, povero mongolo. Che cazzo significherebbe dire che è una vulnerabilità nei sistemi BSD visto che manco c'è se non lo installi. IGNORANTE.
    non+autenticato
  • - Scritto da: par condicio
    > Intercomunicazione fra processi... ambiguo. Per
    > dirla tutta una bella sequoia nel
    > deretano.
    >
    > Però lo possono disabilitare, ovvio.

    Paragone che non regge. DBUS viene continuamente aggiornato con tanto di bug-fix, security-fix, etc.

    Qui si parla del solito pattume M$, non di DBUS.
    non+autenticato
  • - Scritto da: par condicio
    > Intercomunicazione fra processi... ambiguo. Per
    > dirla tutta una bella sequoia nel
    > deretano.
    >
    > Però lo possono disabilitare, ovvio.

    In realtà il DBUS che è parte del freedeskop te lo installano tutti, compresa Debian e di solito non lo disattiva nessuno, visto che è il sistema standard di scambio dei messaggi nei desktop moderni, a meno che vuoi restare in linea di comando.

    Solo che DBUS non c'entra una mazza con DDE, perché è solo un protocollo di scambio di messaggi e il desktop non esegue niente.
    non+autenticato
  • - Scritto da: Lollo
    > - Scritto da: par condicio
    > > Intercomunicazione fra processi... ambiguo.
    > Per
    > > dirla tutta una bella sequoia nel
    > > deretano.
    > >
    > > Però lo possono disabilitare, ovvio.
    >
    > In realtà il DBUS che è parte del freedeskop te
    > lo installano tutti

    Balle. Un qualsiasi BSD non ha alcun dbus. Con X o meno.
    non+autenticato
  • Io credo che tu non abbia capito un cazzo. Era facile 'sta volta però.
    non+autenticato
  • Un attacco senza sosta, winari senza scampo. Rotola dal ridere
    non+autenticato
  • Microsoft ha sempre avuto la pessima abitudine di far eseguire ai propri programmi comandi al di fuori delle loro funzioni. Pure Media player che avrebbe solo dovuto solo eseguire degli audio e dei video è diventato un punto di accesso per i malwares grazie alle funzioni di gestione delle playlists in stile faccio tutto io. Visto che loro campano proprio grazie agli utonti che vogliono il caffé fatto con un click queste cose succedono.

    Il bello è che questa funzionalità di Office la usano solo quattro gatti e la maggior parte delle volte neanche riescono a passare il lavoro fatto ai colleghi perché quando un documento è costituito da più di un file copiare i tutti files sul server senza perdersi niente per strada è un'impresa ardua.Sorride
    non+autenticato
  • - Scritto da: 148e34e95f6
    > Microsoft ha sempre avuto la pessima abitudine di
    > far eseguire ai propri programmi comandi al di
    > fuori delle loro funzioni. Pure Media player che
    > avrebbe solo dovuto solo eseguire degli audio e
    > dei video è diventato un punto di accesso per i
    > malwares grazie alle funzioni di gestione delle
    > playlists in stile faccio tutto io. Visto che
    > loro campano proprio grazie agli utonti che
    > vogliono il caffé fatto con un click queste cose
    > succedono.
    >
    > Il bello è che questa funzionalità di Office la
    > usano solo quattro gatti e la maggior parte delle
    > volte neanche riescono a passare il lavoro fatto
    > ai colleghi perché quando un documento è
    > costituito da più di un file copiare i tutti
    > files sul server senza perdersi niente per strada
    > è un'impresa ardua.
    >Sorride

    Quotone.

    Questa porcheria degli ADS non la sapevo, c'è sempre da imparare e da schifarsi.

    Di M$ mi serve solo il sistema di base depurato al massimo lasciando solo quello che gli serve per stare in piedi e servire ai miei scopi. Tutto il resto è assolutamente open - free - libero - gratuito e senza pastrocchi del caso.
  • FOSS (gratis): c' era un bug, ma è stato patchato prima della disclosure. Risposta delle scimmie: "AL ROGO, ASSASSINI!".

    M$ (a pagamento):c' è un bug, il mondo lo sfrutta per sifonarvi sin dagli anni novanta, microsoft si rifiuta categoricamente di rilasciare una patch. Risposta delle scimmie: "no problem, mi fido è closed, microsoft è un' azienda seria, il market share è garanzia di qualità da sempre".

    Clicca per vedere le dimensioni originali
    non+autenticato
  • FOSS (gratis) : Analisi Tecnica:
    1. è òpen, quindi èffìco
    2. è aggràtisse, quindi èmmijjiòore
    3. seccènbàco, sepèccia
    4. cèssèmpre quàrcùno chessìstèmmano ibbàachi: so'innabbòtte de fèero

    M$ (a pagamento) : Analisi Tecnica:
    1. ècclòsed, quindi èmmèrda
    2. sippàaga, quindi èmmèrda
    3. è MS, quindi èmmèrda
    4. nessùno cigguàrdar còddisce pecchèmmèrda
    5. cò MS iàcari rìdeno pecchèmmèrda

    Nò linàari chavèmo capìdo à informàdega, noi chavèmo li mèjo cuggìni de vòi winàri, andàdevèlo appìijà.
    non+autenticato
  • FOSS (libero): Analisi Tecnica:
    1. piuttosto, se si è imbrogliati
    2. E farlo, lasci il tuo amico
    3. seccènbàco, sepèccia
    4. Tutti non hanno bisogno di chiedere a nessuno capo: il tuo nipote del tuo feroem

    M $ (da pagare): Analisi Tecnica:
    1. Eccitato, ovunque tu sia
    2. Se va bene, dovunque sia buono
    3. e MS, dovunque tu sia
    4. Nessuno cigguhardar mangia la curva
    5. Mi dispiace ma mi dispiace

    La nostra formattazione ti ho appena informato, per favore lasciami vincere una vittoria vincente, andrò e lo scaricherò.
    non+autenticato
  • ...del tuo post: non si è capito un cazzo.
    Indovino: sei quel coglione del fuddaro
    Se invece non sei lui....bhè....sei messo male amico mio.....
    non+autenticato
  • Il paragone non regge. Le scimmie come te hanno l' appoggio totale e incondizionato della stampa prezzolata.
    non+autenticato
  • ....del tuo post: non c'entra un cazzo con quello precedente
    Infatti non si capisce cazzo c'entra: "la stampa prezzolata"
    Sei anche tu quel coglione del fuddaro per caso ?
    non+autenticato
  • Sei quell' analfabeta di maxsuc.
    non+autenticato
  • - Scritto da: ...
    > Sei quell' analfabeta di maxsuc.
    spiacente, è lo stile fallato di panda in uno dei momenti "alias"
    non+autenticato
  • - Scritto da: linaro
    > FOSS (gratis) : Analisi
    > Tecnica:
    >
    > 1. è òpen, quindi èffìco
    > 2. è aggràtisse, quindi èmmijjiòore
    > 3. seccènbàco, sepèccia
    > 4. cèssèmpre quàrcùno chessìstèmmano ibbàachi:
    > so'innabbòtte de
    > fèero
    >
    > M$ (a pagamento) : Analisi
    > Tecnica:
    >
    > 1. ècclòsed, quindi èmmèrda
    > 2. sippàaga, quindi èmmèrda
    > 3. è MS, quindi èmmèrda
    > 4. nessùno cigguàrdar còddisce pecchèmmèrda
    > 5. cò MS iàcari rìdeno pecchèmmèrda
    >
    > Nò linàari chavèmo capìdo à informàdega, noi
    > chavèmo li mèjo cuggìni de vòi winàri, andàdevèlo
    > appìijà.


    certo che sei scemo forte eh...poverino, mi spiace!
    non+autenticato
  • - Scritto da: n&C
    > certo che sei scemo forte eh...poverino, mi
    > spiace!

    certo che tu non hai fatto una figura migliore, anzi....praticamente col tuo intervento hai dimostrato di riconoscerti nel "profilo"
    se stavi zitto era meglio per te.....
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)