Alla fine di aprile è stato rilevato un exploit precedentemente sconosciuto, che si è rivelato essere una vulnerabilità zero-day CVE-2018-8174 per Internet Explorer. Secondo gli esperti, l’utilizzo è avvenuto nel corso di attacchi mirati.
Particolarmente interessante è il fatto che l’exploit per Internet Explorer è stato attivato a partire da un documento Word, che rende questo il primo caso noto dello sfruttamento di questa tecnica.
Un altro elemento importante è che è stata sfruttata una versione completamente aggiornata di Microsoft Office.
Microsoft è stata subito informata della vulnerabilità scoperta, e dall’8 maggio ha reso disponibile il patch sul suo sito web.
Un exploit è un tipo di software che sfrutta un bug o una vulnerabilità in altri software per infettare le vittime con un codice dannoso. Gli exploit sono molto utilizzati sia dai criminali informatici in cerca di profitto, sia da cyber criminali più sofisticati sostenuti da governi.
In questo caso particolare, l’exploit sfrutta una vulnerabilità zero-day relativa ad un errore di tipo UAF (user-after-free) che interessa Internet Explorer, in quanto quest’ultimo presenta un problema nella logica applicata per la gestione di alcuni buffer in memoria, i quali vengono erroneamente riutilizzati dopo essere stati “liberati”. Nella maggior parte dei casi, questo si traduce in un semplice crash del browser, ma in questo caso gli attaccanti sono riusciti a sfruttare la problematica per eseguire del codice arbitrario e prendere il controllo della macchina.
Le analisi approfondite condotte sugli exploit hanno mostrato le varie fasi con cui avviene l’infezione a catena:
- Le vittime ricevono il documento Microsoft Office RTF malevolo
- Dopo aver aperto il documento, viene scaricata la seconda fase dell’exploit: una pagina HTML contenente altro codice malevolo
- Il codice corrompe la memoria innescando l’errore UAF
- Viene eseguito lo shellcode che scarica un’ulteriore payload malevolo
“Questa tecnica, prima della pubblicazione dei recenti aggiornamenti, ha consentito ai criminali di forzare l’avvio di Internet Explorer, indipendentemente dal browser utilizzato normalmente, aumentando così una superficie di attacco. Fortunatamente, la scoperta della minaccia ha portato al rilascio tempestivo della patch di sicurezza da parte di Microsoft. Invitiamo le organizzazioni e gli utenti privati a installare immediatamente le ultime patch, poiché non passerà molto tempo prima che il codice per lo sfruttamento di questa vulnerabilità inizi ad essere utilizzato negli exploit-kit più famosi e venga quindi sfruttato anche da criminali comuni” afferma Anton Ivanov, Security Researcher, di Kaspersky Lab.