Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Campagne di spam che sfruttano la recente vulnerabilità di MS Office ‘CVE-2017-11882’ – Un analisi dei Quick Heal Security Labs
- MERCOLEDÌ 7 FEBBRAIO 2018


Le campagne di spam sono uno dei maggiori mezzi di diffusione dei malware.  Recentemente abbiamo iniziato a osservare varie campagne malspam che sfruttano la vulnerabilità di MS Office CVE-2017-11882.

In questo articolo illustreremo, con un'analisi approfondita, una di queste campagne.

Catena di attacco

Fig.1 Catena di attacco

Analisi della vulnerabilità (CVE-2017-11882)
Una vulnerabilità di esecuzione di codice in modalità remota (CVE-2017-11882) può essere attivata nel componente Microsoft Office Equation Editor (EQNEDT32.EXE). Questo strumento, come indica il nome, consente agli utenti di integrare equazioni matematiche nei documenti Office in forma di oggetto OLE dinamico.

Un attaccante può sfruttare con successo una buffer overflow vulnerability nella componente di editor delle equazioni di MS Office e eseguire codice arbitrario. La componente EQNEDT32.EXE genera il proprio processo al di fuori del processo principale di Office, così non utilizza nessuna delle funzioni di sicurezza aggiunte al sistema operativo o alla suite di Office. Questo rende assai facile il buffer overflow (cioè la corruzione della memoria nel file  EQNEDT32.EXE).

"Inserendo molti oggetti OLE che sfruttano la vulnerabilità descritta, è possibile eseguire una sequenza di comandi arbitrari (ad esempio scaricare un file da Internet ed eseguirlo)" riferisce il team di Embedi, che individuò per primo la vulnerabilità in questione. "Una dei sistemi più facili per eseguire codice arbitrario è lanciare un file eseguibile da un server WebDAV controllato dagli attaccanti" .

Per sfruttare la vulnerabilità, gli accanti utilizzano file RTF appositamente predisposti con estensioni doc. Questo file RTF contiene una classe di oggetti di equazione incorporata come mostrato in Fig 2.

Fig.2 Classe di oggetti di equazione

Il file OLE che è incorporato all'interno del documeno RTF creato, ha un nome di flusso "Equation Native" con la seguente intestazione:


MTEF è un formato di equazione di tipo matematico utilizzato dall'editor di equazioni.
L'intestazione MTEF ha la seguente struttura.


I dati MTEF sono costituiti da un'intestazione MTEF seguita da più record. Questi record possono essere di diversi tipi e dimensioni. Il record FONT definito nell'oggetto dati MTEF riceve il FONT NAME creato e attiva la vulnerabilità.

Di seguito è riportata la struttura dei dati MTEF (record FONT).


Se FONT NAME è maggiore di 32 byte, siamo di fronte ad un tentativo di exploit. 

Analisi degli exploit
In questa campagna, il vettore di attacco iniziale utilizza email di spam con allegati RTF creati con estensione .doc.

La Fig 3 mostra l'e-mail di spam utilizzata in questa campagna.

Fig.3 Email di spam

MS Word esegue l'allegato dannoso che da inizio al processo di exploit. Dopo il successo dell'exploit, Microsoft Equation Editor avvia il processo mshta.

Fig.4 Font name creato

Come funziona? Qualche dettaglio in più...
La figura seguente è uno snap che mostra lo scenario di buffer overflow in cui 48 byte di dati vengono copiati in un buffer locale che provoca un overflow del buffer e sovrascrive il puntatore di base e restituisce l'indirizzo.

Fig 5. Overflow del buffer basato su stack

La figura 6 mostra l'indirizzo (0x00430C12) che viene sovrascritto nell'indirizzo di ritorno.

>
Fig 6. Indirizzo di ritorno sovrascritto

L'indirizzo sovrascritto proviene da EQUATION32.EXE e tale istruzione punta all'api "WinExec" come menzionato in Fig 7

>
Fig.7. WinExec call

Dopo il successo dell'exploit, il processo mshta viene eseguito da WinExec che scarica ed esegue il file hta dannoso. Il file hta funge inoltre da downloader per un malware infostealer.

Nei Quick Heal Security Labs abbiamo visto diverse varianti di questo exploit usando mshta.exe, cmd.exe e powershell.exe che sono stati eseguiti da WinExec per svolgere ulteriori attività.

Attacchi File-less
Di seguito uno scenario in cui l'exploit contiene un codice che esegue direttamente un malware che è ospitato su un server WebDav pubblico. Il payload è un tipico percorso di rete UNC.

La Fig 8 mostra il diverso malware ospitato sul server WebDav pubblico 185.45.195.7.

Fig. 8. Percorso UNC del server WebDav

>
Fig. 9. Server WebDav dannoso

Conclusione
Per difendersi da tali exploit, Microsoft ha già implementato funzionalità come DEP e ASLR nel loro arsenale ma l'attacco colpisce eqnedt32.exe, dove entrambe le funzionalità sono disabilitate; quindi portare a termine tali attacchi usando gli exploit POC facilmente disponibili diventa utile per gli attaccanti. Da Microsoft Office 2007 Service Pack 3, tutte le versioni sono vulnerabili a questa vulnerabilità. Microsoft ha rilasciato una patch per questa vulnerabilità, pertanto consigliamo ai nostri utenti di applicare i pacchetti di aggiornamento Microsoft più recenti e di tenere aggiornato il loro antivirus.

Misure di sicurezza
Indicatori di compromissione
1A74FD8314F303E96018002A9F73F1F1
F603D25DDF21A8B9C2FAE7C9DC118BE2
E64C7C14B4632E995C7922A81ABA5E15
hxxp://112.213.118[.]108:11882/
hxxp://104.254.99[.]77/x.txt
176.107.178.12
185.175.208.10


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 16 FEBBRAIO 2018
Quick Heal: report annuale 2018 sulle minacce informatiche. Ransomware e Exploit.
Il report annuale fornisce una panoramica dei rischi informatici più pericolosi e diffusi del 2017, per home user e aziende. Si divide in due sezioni, una per Windows e u...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e documentazione
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Versioni di prova
Supporto
Contratto EULA.
Download Upgrade


S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2018 nwk - Privacy Policy - Login