Video: PoC: Explotando Zero Day de Word CVE-2017-0199 Handler HTA (Novembre 2024)
Microsoft ha rivelato una vulnerabilità critica zero-day nel modo in cui le versioni precedenti di Microsoft Windows e Office gestiscono il formato immagine TIFF questa settimana. Anche se il difetto viene attivamente sfruttato in natura, la società ha dichiarato che una patch non sarà pronta per l'uscita della prossima martedì di Patch.
Il bug (CVE-2013-3906) consente agli aggressori di eseguire in remoto codice sul computer di destinazione inducendo gli utenti ad aprire file con immagini TIFF appositamente predisposte, ha affermato Microsoft. Quando l'utente apre il file di attacco, l'utente malintenzionato ottiene gli stessi diritti e privilegi di quell'utente. Ciò significa che se l'utente ha un account amministratore, l'utente malintenzionato può ottenere il pieno controllo della macchina. Se l'utente non dispone dei privilegi di amministratore, l'attaccante può causare solo danni limitati.
Laboratorio di test AV-TEST ha identificato almeno otto documenti DOCX incorporati con queste immagini dannose attualmente utilizzate negli attacchi.
Software interessato
La vulnerabilità esiste in tutte le versioni del servizio comunicatore di Lync, Windows Vista, Windows Server 2008 e alcune versioni di Microsoft Office. Tutte le installazioni di Office 2003 e 2007 sono a rischio, indipendentemente dal sistema operativo su cui è installata la suite. Office 2010 è interessato, solo se installato su Windows XP o Windows Server 2008, ha affermato Microsoft. Sembra che Office 2007 sia l'unico attualmente sotto attacco attivo, secondo la consulenza.
"Fino al 37% degli utenti aziendali di Microsoft Office è sensibile a questo exploit zero-day", ha dichiarato Alex Watson, direttore della ricerca sulla sicurezza di Websense.
Quest'ultimo giorno zero è un buon esempio di come le vulnerabilità nelle versioni precedenti del software possano esporre le organizzazioni a gravi attacchi. Gli utenti non dovrebbero ancora eseguire Office 2003, Office 2007, Windows XP e Windows Server 2003 in primo luogo perché sono così vecchi. "Se rimossi quel software, questo 0-day non esisterebbe", ha dichiarato Tyler Reguly, responsabile tecnico della ricerca e sviluppo della sicurezza di Tripwire. Considerando l'età di queste applicazioni, le organizzazioni e gli utenti dovrebbero aver già aggiornato.
Attacchi allo stato brado
Mentre ci sono attacchi in natura, è importante ricordare che fino ad oggi, la maggior parte degli attacchi si è concentrata sul Medio Oriente e in Asia. Inizialmente Microsoft ha affermato che "gli attacchi mirati hanno tentato di sfruttare questa vulnerabilità" e i ricercatori sulla sicurezza di AlienVault, FireEye e Symantec hanno identificato diversi gruppi di attacco che già utilizzano la vulnerabilità per promuovere le loro campagne.
Il gruppo dietro Operation Hangover, una campagna incentrata sullo spionaggio identificata a maggio, sembra sfruttare questo bug per promuovere le sue attività di raccolta di informazioni, ha affermato FireEye nel suo blog. Jaime Blasco, direttore di AlienVault Labs, ha affermato che l'exploit viene utilizzato per colpire il servizio di intelligence e le forze armate del Pakistan. Un altro gruppo di attacco, chiamato Arx dai ricercatori di FireEye, sta usando l'exploit per distribuire il Trojan bancario Citadel.
Installazione della soluzione alternativa
Mentre la patch non sarà pronta entro la prossima settimana, Microsoft ha rilasciato un FixIt, una soluzione temporanea, per risolvere il problema. Se si dispone di software vulnerabile, è necessario applicare immediatamente FixIt. FixIt disabilita il modo in cui si accede alle immagini TIFF, che potrebbe non essere un'opzione per alcuni utenti e aziende, ha notato regolarmente Tripwire.
Gli sviluppatori Web, i grafici e i professionisti del marketing che lavorano con il formato TIFF possono trovare la loro capacità di fare il loro lavoro ostacolato da questo FixIt, Reguly ha avvertito. I professionisti della sicurezza possono avere difficoltà a giustificare la necessità di distribuire FixIt in organizzazioni che lavorano molto con immagini di alta qualità.
"Mette le persone nella difficile situazione di prevenire una nuova vulnerabilità o fare il proprio lavoro", ha dichiarato Reguly.
Le organizzazioni possono anche installare il toolkit di sicurezza di Microsoft EMET (Enhanced Mitigation Experience Toolkit) in quanto impedisce l'esecuzione dell'attacco, Elia Florio del Security Response Center di Microsoft; scritto in un post sul blog.
Molti antivirus e suite di sicurezza hanno già aggiornato le loro firme per rilevare i file dannosi che sfruttano questa vulnerabilità, quindi dovresti anche assicurarti che anche il tuo software di sicurezza sia aggiornato. Come sempre, fai molta attenzione quando apri file che non hai richiesto specificamente o fai clic sui collegamenti se non conosci la fonte.