Microsoft Office, un attacco che non si può fermare

Una nuova minaccia fa un uso illegittimo di una funzionalità legittima di Windows, un problema che secondo Microsoft non è un problema e che i cyber-criminali sono ben felici di sfruttare senza il disturbo di patch correttive

Roma – I ricercatori hanno scovato una campagna malevola progettata per abusare di una funzionalità del tutto legittima dei sistemi operativi Windows, una tecnologia presente da tempo sugli OS di Microsoft e che Redmond stessa ha detto di non voler (o forse di non poter) rimaneggiare con patch correttive di sorta. Il bug non è un bug ma una funzionalità, e funziona come dovrebbe. Sono i cyber-criminali a essere evidentemente troppo furbi.

La tecnologia in oggetto si chiama Dynamic Data Exchange (DDE), e ha lo scopo di facilitare il trasferimento di dati tra applicazioni differenti. Nel caso di Office, ad esempio, DDE può essere usata per aggiornare una tabella integrata su un documento Word estrapolando i dati necessari da un foglio di calcolo Excel ogni volta che si apre il suddetto word processor .

DDE è un meccanismo in circolazione sin dagli anni ’90 , e già stato sostituito da tecnologie più moderne ed è noto per essere uno dei tanti strumenti adoperati dai cyber-criminali per indurre l’utente ad aprire un file malevolo e infettare il computer.

Nel caso di DDE, quando si prova ad aprire una risorsa esterna viene visualizzato un messaggio di avviso, e nel caso in cui tale risorsa sia rappresentata da un file eseguibile scatta un secondo avviso da cui l’utente deve confermare l’apertura del Prompt dei Comandi per l’esecuzione del programma esterno.

Avviso attacco DDE Word

Questo secondo avviso può però essere soppresso attraverso metodi “creativi”, dicono i ricercatori di SensePost , e a quel punto l’eventualità che un malware venga mandato in esecuzione dall’ignaro utente – soprattutto negli ambienti in cui l’uso della tecnologia DDE è un fatto abituale – si fa sempre meno remota.

SensePost ha contattato Microsoft per avvertirla del problema, ma la risposta di Redmond è stata negativa: la tecnologia DDE funziona secondo specifiche, quindi gli attacchi che abusano del meccanismo potranno continuare a farlo senza il rischio di una patch correttiva.


I ricercatori di sicurezza si sono divisi sulla decisione formulata da Microsoft, certo è che il problema non è destinato a sparire molto presto ed è tutto fuorché teorico: gli attacchi abusa-DDE sono già in corso, per di più ad opera dello stesso gruppo di hacker (FIN7) già noto per la minaccia tecnicamente sofisticata nota come DNSMessenger .

Alfonso Maruccia

fonte immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Essenza scrive:
    il valore del digitale
    Il valore del digitale è pari a zero perché quando copi non rubi nulla, quindi ti offro un bel db di torrent.I miei file digitali però li devi pagare in qualche modo, o con adv, o con la tua CPU (di nascosto a te).
  • ghe pensi mi scrive:
    stroncare javascript
    "priva di qualsiasi opzione di disabilitazione da parte dell'utente finale."Come da oggetto.
    • bubba scrive:
      Re: stroncare javascript
      - Scritto da: ghe pensi mi
      "priva di qualsiasi opzione di disabilitazione da
      parte dell'utente
      finale."

      Come da oggetto.o magari piu selettivamente con noscript :P(o per i niubbi ..... https://adblockplus.org/blog/kicking-out-cryptojack )
      • Mao99 scrive:
        Re: stroncare javascript

        o magari piu selettivamente con noscript :P
        (o per i niubbi .....
        https://adblockplus.org/blog/kicking-out-cryptojacBeh si vero, ottimo consiglio, da avere sempre attivo ^_^
Chiudi i commenti