Microsoft Equation Editor, il payload è già in circolo

Reversing Labs ha rilevato un exploit utilizzato dal team russo Cobalt Strike che sfrutta lo "storico" bug dell'Equation Editor di Office. Nel frattempo, un'analisi condotta dal team 0Patch dimostra che Redmond ha patchato direttamente l'eseguibile senza ricompilarlo

Roma – La vulnerabilità CVE-2017-11882 , presente da oltre 17 anni in tutte le versioni di Microsoft Office e scoperta solo una settimana fa dai ricercatori di Embedi, è già stata utilizzata all’interno di una campagna di malware .

Il componente di Office responsabile della vulnerabilità è il Microsoft Equation Editor , nello specifico il suo eseguibile EQNEDT32.EXE , risalente al 2000 e mantenuto all’interno del software per backward compatibility: ciononostante, non è stato mai messo in compliance con gli ultimi standard di sicurezza adottati da Redmond, e perciò consente ad utenti malevoli di eseguire codice remoto sulla macchina sfruttando un errore di buffer overflow.

Gli esperti di sicurezza di Reversing Labs hanno ravvisato la presenza di un exploit relativo a questa vulnerabilità all’interno di una delle campagne di malware portate avanti dal team di cyber-criminali russo Cobalt .

Il post di Reversing Labs contiene ulteriori informazioni: l’indirizzo IP del server da cui vengono scaricati i payload, gli indicatori di compromissione (una sessantina, divisi in due ondate distinte) e la regola per il tool YARA con cui sono riusciti a rilevare l’exploit.

Nel frattempo, la patch per questa vulnerabilità è stata resa disponibile con il patch Tuesday di Novembre: un’analisi tecnica condotta dal team 0Patch ha permesso di scoprire che l’eseguibile dell’Equation Editor non è stato ricompilato, ma patchato manualmente . Ciò si evince dal fatto che gli offset delle funzioni presenti all’interno delle due versioni dell’eseguibile – quella vulnerabile e quella patchata – coincidono perfettamente .

indirizzi delle funzioni del Microsoft Equation Editor

Le motivazioni dietro questa scelta di Microsoft sono probabilmente dovute al fatto che il codice dell’eseguibile sia andato perduto .

Il team 0Patch ha inoltre scoperto che Microsoft ha patchato anche altre funzioni , per un totale di cinque, oltre a quelle responsabili della vulnerabilità : probabilmente l’analisi effettuata ha permesso la scoperta di problematiche simili che sono state quindi risolte preventivamente.

Infine, Microsoft ha abilitato il bit ASLR ( Address Space Layout Randomization ), settando il flag IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE all’interno della struttura dati IMAGE_OPTIONAL_HEADER : così facendo ha abilitato un’ulteriore misura di sicurezza contro i rischi di corruzione di memoria: va tuttavia ricordato che, per le versioni di Windows pari o superiori alla 8, un bug di ASLR è in attesa di essere patchato da Redmond .

Elia Tufarolo

Fonte Immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • aieie brazov scrive:
    Ma siamo sicuri...
    ...che siano infetti a "loro insaputa" e non monatti ipocriti e senzienti?
  • prova123 scrive:
    I javascript non servono
    ad una beata XXXXXXX, invece i XXXXXXXX continuano ad uitilizzarli. Chi usa i javascript è colluso con i cyber-criminali. Siti con i javascript devono essere oscurati dai provider.
    • ... scrive:
      Re: I javascript non servono
      Il javascript può servire per qualcosa ma i siti (a parte casi rari) devono essere utilizzabili e funzionanti anche senza JS. Punto. Se un sito senza JS non funziona o funziona solo in parte, è fatto alla XXXXX di cane.
      • Alvaro Vitali scrive:
        Re: I javascript non servono
        E certo, torniamo alle caverne allora.Vi vorrei ricordare che parecchio tempo fa erano riusciti ad inserire malware persino nelle GIF animate; dobbiamo eliminare pure quelle?Torniamo al codice HTML 1.0 puro; solo testo senza neppure un'immagine.All'università mi ero imbattuto in una situazione del genere, grazie ad un vecchissimo computer Sperry Univac, con UNIX System V come sistema operativo e Lynx come browser testuale.Il problema è che riuscirebbero ad inserire il malware anche in quel caso.
        • ... scrive:
          Re: I javascript non servono
          - Scritto da: Alvaro Vitali
          E certo, torniamo alle caverne allora.

          Vi vorrei ricordare che parecchio tempo fa erano
          riusciti ad inserire malware persino nelle GIF
          animate; dobbiamo eliminare pure
          quelle?Non è possibile inserire malware nelle gif animate, visto che nulla viene eseguito e non contengono codice. Al limite puoi creare delle immagini malformate che contengono un exploit che sfrutta una particolare falla di un particolare software che apre le gif animate per fargli eseguire del codice. Di certo non funzionerà universalmente.

          Torniamo al codice HTML 1.0 puro; solo testo
          senza neppure
          un'immagine.
          All'università mi ero imbattuto in una situazione
          del genere, grazie ad un vecchissimo computer
          Sperry Univac, con UNIX System V come sistema
          operativo e Lynx come browser
          testuale.

          Il problema è che riuscirebbero ad inserire il
          malware anche in quel
          casoIl tuo discorso è demenziale. Stai dicendo che siccome teoricamente è possibile sfruttare delle falle in qualsiasi software allora tanto vale lasciare eseguire tutto. Ma che discorso di XXXXX è?
        • rockroll scrive:
          Re: I javascript non servono
          - Scritto da: Alvaro Vitali
          E certo, torniamo alle caverne allora.

          Vi vorrei ricordare che parecchio tempo fa erano
          riusciti ad inserire malware persino nelle GIF
          animate; dobbiamo eliminare pure
          quelle?

          Torniamo al codice HTML 1.0 puro; solo testo
          senza neppure
          un'immagine.
          All'università mi ero imbattuto in una situazione
          del genere, grazie ad un vecchissimo computer
          Sperry Univac, con UNIX System V come sistema
          operativo e Lynx come browser
          testuale.

          Il problema è che riuscirebbero ad inserire il
          malware anche in quel
          caso.Qualcosa attivato silentemente da siti più o meno compromessi tipo esecuzioni JS dovrebbe essere consultabile e di domino pubblico, di modo che la comunità possa intervenire a garanzia del corretto operato; l'alternativa è rinunciare alla festure (per te ritornare addirittura all'età della pietra?).Quanto alle gif animate, sono l'unico che propro non ne sente il bisogno?
      • Albedo non loggato scrive:
        Re: I javascript non servono
        - Scritto da: ...
        Il javascript può servire per qualcosa ma i siti
        (a parte casi rari) devono essere utilizzabili e
        funzionanti anche senza JS. Punto. Se un sito
        senza JS non funziona o funziona solo in parte, è
        fatto alla XXXXX di
        cane.In poche parole stai consigliando di abbandonare tutte le possibilità di servizi web asincroni basati su browser.Parlami dei costi di sviluppo per offrire un client nativo per ogni piattaforma.7K caratteri, vai [cit]
        • ... scrive:
          Re: I javascript non servono
          - Scritto da: Albedo non loggato
          - Scritto da: ...

          Il javascript può servire per qualcosa ma i
          siti

          (a parte casi rari) devono essere
          utilizzabili
          e

          funzionanti anche senza JS. Punto. Se un sito

          senza JS non funziona o funziona solo in
          parte,
          è

          fatto alla XXXXX di

          cane.

          In poche parole stai consigliando di abbandonare
          tutte le possibilità di servizi web asincroni
          basati su
          browser

          Parlami dei costi di sviluppo per offrire un
          client nativo per ogni
          piattaforma.
          7K caratteri, vai [cit]"Client nativo per ogni piattaforma" perché disabiliti JS?Ma XXXXXXXXXX analfabeta.
  • Pussiano scrive:
    Server linux infettati
    La tanto decantata sicurezza di Linux con questa news se ne va a fare benedire, visto che sono riusciti a infettare server Linux a go-go
    • Alvaro Vitali scrive:
      Re: Server linux infettati
      Tu hai il cervello riprogrammato in modo da ripetere sempre la stessa frase. Vedi Linux dappertutto; te lo sogni pure di notte e ti svegli tutto sudato ...
    • vizio caio scrive:
      Re: Server linux infettati
      - Scritto da: Pussiano
      La tanto decantata sicurezza di Linux con questa
      news se ne va a fare benedire, visto che sono
      riusciti a infettare server Linux a
      go-goNo ma che dici ? Linux è l'OS più utilizzato nel mondo server ma NON quando c'è da prendere malware, ma scherziamo ? Solo i server windows vengono compromessi col malware. Non stiamo neanche a parlare di questa cosa. Hai visto qualcuno che ne ha parlato ? Ecco. Punto.
  • Fabrizo scrive:
    abuso del javascript.
    esitare abuso del javascript.ormai quasi sito web usa ormai come minimo AngularJS Backbone.js Chaplin.js Closure Dojo Toolkit Ember.js Ext JS jQuery Knockout Meteor MooTools Prototype Rico script.aXXXX.us Sencha Touch SproutCore Wakanda YUI
    • ... scrive:
      Re: abuso del javascript.
      Eh sì... una vera XXXXX
    • ... scrive:
      Re: abuso del javascript.
      Purtroppo anche fare siti web è diventato per gran parte legato a decisioni di markettari per cui - tutto si muove e sparaflasha manco fossimo alle giostre = ottimo- compatibilità e accessibilità? Che roba è? E soprattutto chissenefotte?- se disabilitano JS rischiano di non vedersi i banner rotanti? E allora facciamo tutti in JS così che se disabilitano non si vede un XXXXX!- usiamo tanti framework che al giorno d'oggi fanno tanto figo
  • user_ scrive:
    perchè firefox su android ha la barra az
    azzurra che spesso si blocca a metà? Ho ublock origin. La barra non va avanti, è forse colpa di certi script? su siti come tgcom ma non solo quello. Succede anche su Brave ? CHrome non lo voglio.
    • panda rossa scrive:
      Re: perchè firefox su android ha la barra az
      - Scritto da: user_
      azzurra che spesso si blocca a metà? Ho ublock
      origin. La barra non va avanti, è forse colpa di
      certi script? su siti come tgcom ma non solo
      quello. Succede anche su Brave ? CHrome non lo
      voglio.Di che siti parli?
      • user_ scrive:
        Re: perchè firefox su android ha la barra az
        http://tgcom24.mediaset.it/ su certe pagine di tgcom, anche all'homepage e anche su altri siti.-----------------------------------------------------------Modificato dall' autore il 28 novembre 2017 18.59-----------------------------------------------------------
        • ... scrive:
          Re: perchè firefox su android ha la barra az
          - Scritto da: user_
          http://tgcom24.mediaset.it/
          su certe pagine di tgcom, anche all'homepage e
          anche su altri siti.Ma perché rispondi ad un cretino che non sa neanche usare un browser?
          • user_ scrive:
            Re: perchè firefox su android ha la barra az
            Ma che ca dici?Firefox + ublock origin in windows non ha quei problemi, mentre in android sì.Ho pochissime altre estensioni installate, su android ho solo quella poi.
          • rockroll scrive:
            Re: perchè firefox su android ha la barra az
            - Scritto da: user_
            Ma che ca dici?
            Firefox + ublock origin in windows non ha quei
            problemi, mentre in android
            sì.
            Ho pochissime altre estensioni installate, su
            android ho solo quella
            poi.Ublock origin non basta: elimina molta pubblicità ma non esecuzioni JS malevole.
    • rockroll scrive:
      Re: perchè firefox su android ha la barra az
      - Scritto da: user_
      azzurra che spesso si blocca a metà? Ho ublock
      origin. La barra non va avanti, è forse colpa di
      certi script? su siti come tgcom ma non solo
      quello. Succede anche su Brave ? CHrome non lo
      voglio. Purtroppo si, dipende dal tipo di azione fatta dal rimedio adottato e non dal browser; io con firefox ed estensione NoScript spesso devo dare consenso manuale e digerirmi la XXXXXXX (pubblicitaria normalmente), tanto che su alcun siti che frequento, valutando il disagio da patire, ho escluso l'azione NoScript.
      • user_ scrive:
        Re: perchè firefox su android ha la barra az
        non ho noscript, ho solo ublock origin, ma questo succede in android. Mentre in win 7 con firefox+ ublok origin non succede. In windows i siti come tgcom si caricano tutti e subito.-----------------------------------------------------------Modificato dall' autore il 29 novembre 2017 12.56----------------------------------------------------------------------------------------------------------------------Modificato dall' autore il 29 novembre 2017 12.57-----------------------------------------------------------
  • ... scrive:
    Bello!
    Ma mi raccomando, continuiamo a fare siti che senza JS non funzionano, perché c'è bisogno degli effettini da bimbominkia, del 45 inserti pubblicitari in rotazione e dell'avvertimento a tutto schermo che se non disabiliti adblock non puoi vedere il nostro articolo di XXXXX.
    • panda rossa scrive:
      Re: Bello!
      - Scritto da: ...
      Ma mi raccomando, continuiamo a fare siti che
      senza JS non funzionano, perché c'è bisogno degli
      effettini da bimbominkia, del 45 inserti
      pubblicitari in rotazione e dell'avvertimento a
      tutto schermo che se non disabiliti adblock non
      puoi vedere il nostro articolo di
      XXXXX.Di che sito parli, scusa?
      • ... scrive:
        Re: Bello!
        Ma XXXXXXXXXX coi tuoi interventi di XXXXX, XXXXXXXXXXXXXX
      • ... scrive:
        Re: Bello!
        Anche youtube non funziona se disabiliti Javascript. Si parla di uno dei siti con più visite al mondo, che sicuramente usi sempre anche tu. Piantala di fare il saccente, testa di XXXXXXX.
    • Albedo non loggato scrive:
      Re: Bello!
      - Scritto da: ...
      Ma mi raccomando, continuiamo a fare siti che
      senza JS non funzionano, perché c'è bisogno degli
      effettini da bimbominkia, del 45 inserti
      pubblicitari in rotazione e dell'avvertimento a
      tutto schermo che se non disabiliti adblock non
      puoi vedere il nostro articolo di
      XXXXX.Gli effettini da bimbominkia ormai si fanno in CSS.Mentre il JS viene usato per fare roba anche come questa:https://webtorrent.io/Mi aiuti a rifarlo in HTTP 1.0?
Chiudi i commenti