Attenzione ad aprire immagini TIFF provenienti da fonti che non siano più che sicure, in particolare se si usa Microsoft Windows, Microsoft Office e Microsoft Lync. Sono questi, infatti, i sistemi interessati dalla nuova vulnerabilità legata all'analisi di immagini TIFF rilevata all'interno di Microsoft Graphics. La vulnerabilità permette ai cyber criminali di eseguire un codice da remoto.
Microsoft ha pubblicato un Security Advisory 2896666, che spiega tutti i dettagli e ha reso disponibile Microsoft Fix-it 51004 per ridurre il problema fino a quando non sarà disponibile l'aggiornamento (che non è arrivato oggi con le patch del martedì).
Websense ha effettuato una ricerca preliminare dell'exploit, osservando che questa vulnerabilità può colpire le versioni di Microsoft Office del 2003, 2007 e 2010 (la vulnerabilità di Office 2010 è limitata ai sistemi operativi Windows XP e Server 2003) e non avrà successo sulle macchine che permettono di visualizzare i documenti in modalità protetta (cioè dove il supporto ActiveX è disabilitato nei documenti).
Con un'immagine Tiff ti "rubano" il pc
Non è facile stabilire se i computer hanno abilitato ActiveX per i documenti Office, ma i tecnici di Websense hanno profilato le combinazioni vulnerabili di Microsoft Windows e Office per cercare di capire quale può essere l'ampiezza dell'attacco. I dati della telemetria divulgati da Websense indicano il seguente breakdown delle versioni di Microsoft Office implementate negli ambienti enterprise:
- Office 2003 - 5%;
- Office 2007 - 30%;
- Office 2010 - 41%;
- Office 2013 - 14%.
Rispetto ai computer con Office 2010 (41%) osservati, solo il 2% installa Windows XP o Windows Server 2003. Questo permette di avere una superficie di attacco che corrisponde al 37% dei computer aziendali che installano sia Microsoft Windows che Office.
E plausibile, come affermano gli esperti di Websense che nei prossimi mesi numerosi criminali informatici adotteranno questo exploit sia per campagne mirate sia su larga scala, vista l'ampia superficie d'attacco.
Alex Watson, director of security research di Websense, consiglia: "Anche se fino a questo momento l'impatto è stato limitato, abbiamo rilevato attacchi email mirati contro vittime in Medio Oriente e Asia Meridionale. Consigliamo agli amministratori IT di installare Microsoft Fixit 51004 per bloccare la vulnerabilità nell'attesa che sia disponibile la patch ufficiale da parte di Microsoft".
Il comportamento del malware
I laboratori di Websense hanno rivelato i dettagli dell'exploit Zero-day: l'exploit esegue un heap-spray ad ampia memoria, utilizzando controlli ActiveX e gadget codificati ROP (Return Oriented Program) per posizionare le pagine eseguibili. ROP è una tecnica che permette a un cybercriminale di eseguire il codice nonostante le difese di sicurezza. Il malintenzionato dirotta il flusso di controllo del programma e poi esegue accuratamente la sequenza di istruzioni della macchina scelta, chiamata "gadget".
Legati insieme, questi gadget permettono a un criminale informatico di eseguire arbitrariamente operazioni su una macchina che integra soluzioni di sicurezza che permettono solo di contrastare gli attacchi più semplici. Maggiori informazioni su ROP sono su wikipedia.
Successivamente, l'exploit scarica un file eseguibile dal percorso (hxxp://myflatnet.com/ralph_3/winword.exe) che, come si vede nell'esempio sotto, è inserito nel documento Word malevolo e lo salva in C:Documents and Settings
Il percorso per il download del malware è inserito nel file Word
Ci sono altri percorsi di download osservati: "hxxp://myflatnet.com/bruce_2/winword.exe"; "hxxp://myflatnet.com/new_red/winword.exe" e "hxxp://myflatnet.com/ralph_3/winword.exe".
Il file Winword.exe scaricato (SHA1 373038c199efffd7c35d624e374af32ab1cd3f04) è in realtà un RAR SFX, contenente un file eseguibile e un documento Word falso. Dopo essere stato eseguito, Winword.exe decomprime un altro file eseguibile (Updates.exe) dal percorso indicato di seguito e successivamente lo esegue. Updates.exe è una backdoor che consente al criminale di ottenere il controllo del computer della vittima.
Il documento falso inserito nel RAR Winword.exe viene salvato nella stessa cartella utente. Il documento viene aperto dopo l'exploit per tranquillizzare la potenziale vittima.
Esaminando i contenuti dei falsi documenti, ai tecnici di Websense sembra che gli attacchi stiano mirando al Pakistan. Tuttavia, hanno rilevato che queste email sono state inviate anche a destinatari in Emirati Arabi Uniti, India e altri Paesi dell'Asia Meridionale mirando a settori come per esempio finanza, industria, software e viaggi. I domini dei mittenti sembrano provenire principalmente dall'India e dagli Emirati Arabi Uniti (ma questi potrebbero essere contraffatti).
L'email spedita il 28/10/2013 con questa vulnerabilità
Il 28 ottobre 2013 una campagna malevola via email ha utilizzato due allegati separati, consegnando sia la vulnerabilità CVE-2013-3906, con un allegato Microsoft Word Docx, sia il più comune CVE-2012-0158 (per cui Microsoft ha reso disponibile la patch nel 2012) in un allegato Doc (in rich-text-format, RTF). L’oggetto delle email era "SWIFT $142,000 $89,000". Websense ThreatSeeker network ha rilevato che sono state inviate poche centinaia di messaggi a una società attiva nel settore finanziario con sede fuori dall’UAE. L’IP di origine di questi messaggi, 83.103.197.180, è situato in Romania.
Protezione Websense
Ovviamente in Websense tengono a precisare che i clienti Websense sono protetti con ACE (Advanced Classification Engine), e Websense ThreatScope. Secondo i dati di telemetria di Websense, gli attacchi che usano questo exploit sono stati molto limitati fino a oggi, ma ACE è in grado di garantire la protezione contro sample noti in tutte le fasi di un attacco, come indicato di seguito:
- Fase 4 (Exploit kit) - ACE rileva file .DOC malevoli così come gli URL
- Fase 5 (Dropper File) - ACE rileva i RAR self extracting, installati nell'exploit. Il motore di analisi del comportamento ThreatScope classifica il comportamento come sospetto
Inoltre, ACE ha rilevato il file eseguibile Backdoor integrato nell'archivio RAR e ThreatScope l'ha classificato come sospetto.