Malspam sfrutta falla in “Equation Editor” per colpire target europei

13/06/2019

CVE-2017-11882 equation editor Europa RTF trojan

Dalle attività di monitoraggio emerge un avviso, emesso recentemente dai ricercatori di Microsoft, relativo ad un’ondata di spam che diffonde documenti RTF “armati” per sfruttare la nota vulnerabilità in oggetto.

Secondo Microsoft l’ondata è probabilmente indirizzata ad utenti europei, i messaggi infatti sono realizzati in varie lingue presupponendo l’interesse a colpire in più e differenti nazioni EU. Nell’evento osservato il file RTF scarica ed esegue più script di tipo diverso (VBScript, PowerShell, PHP e altri) tentando di recuperare, da server remoti, quella parte di codice che da effettivo luogo all’infezione. La catena si realizza con la semplice apertura di documenti RTF malevoli su versioni di Office vulnerabili mentre l’elemento finale (payload) è caratterizzato da un generico trojan backdoor.

Rispetto al caso segnalato da Microsoft, il server di comando e controllo del trojan sembra non essere più attivo dallo scorso venerdì, in concomitanza con l’emissione dell’avviso di sicurezza. Naturalmente è plausibile ritenere che successive campagne possano sfruttare la stessa dinamica per diffondere una nuova versione del trojan backdoor, consentendo ai criminali l’accesso diretto alle macchine infette.

La vulnerabilità CVE-2017-11882

Nel 2017 i ricercatori di sicurezza di Embedi scoprirono il bug in questo vecchio componente Office, l’eventuale sfruttamento veniva realizzato con un documento Office munito di uno speciale exploit che permetteva, senza alcuna interazione, l’esecuzione di codice sul dispositivo degli utenti. Rilasciata una prima fix a novembre 2017, in seguito ad una apparente perdita del codice sorgente del componente e la scoperta di un secondo bug, nel 2018 Microsoft ha deciso di rimuovere, tramite aggiornamento, il famigerato “Editor” dalle versioni Word a partire da Office 2007.

Tuttavia, è noto che molti utenti e aziende non provvedono per tempo o dimenticano di installare gli aggiornamenti di sicurezza relativi ai prodotti Office. Per tale motivo, come si evidenzia nell’infografica seguente, nell’ultimo periodo si rileva un incremento predominante di attacchi rivolti alla suite Office.

Perché il CVE-2017-11882 è tra le vulnerabilità più popolari

A partire dalla fine del 2007 numerosi malware hanno sfruttato questo exploit contando sia sul ritardo nell’applicazione di aggiornamenti di sicurezza sia sulla moltitudine di tecniche utilizzabili post sfruttamento della falla. L’exploit è estremamente pericoloso poiché, a differenza degli altri disponibili per la suite MS Office che esigono l’abilitazione di macro o utilizzano funzionalità di sicurezza tramite popup, non richiede alcuna interazione da parte dell’utente. L’exploit è anche molto popolare tra i gruppi di hacker coinvolti in attacchi mirati, come lo spionaggio economico o per la raccolta di informazioni.

Sono quindi diverse le ragioni per cui il CVE-2017-11882 risulta tra le principali vulnerabilità, secondo diversi rapporti si posiziona in terza posizione tra quella maggiormente sfruttate nel 2018, un rapporto Kaspersky l’ha invece posta in cima alla lista. Il CERT-PA ha menzionato in numerose occasioni il CVE associandolo a diversi eventi di malspam, tra questi anche un attacco di tipo “Inception” sempre a danno di obiettivi Europei.

Uno, ma non l’unico, elemento che mantiene in vita lo sfruttamento della vulnerabilità è la mancata copertura da parte di funzionalità di sicurezza di Windows tra cui il Data Execution Prevention (DEP) e l’Address Space Layout Randomization (ASLR) che nativamente dovrebbero proteggere da simili minacce. Il modo in cui eqnedt32.exe viene utilizzato non permette l’uso di queste funzionalità, consentendo successivamente l’esecuzione del codice. Microsoft Equation Editor è un server COM di tipo “out-of-process” ospitato da eqnedt32.exe, il che significa che viene eseguito come un processo proprio capace di accettare comandi da altri processi. In tal caso quindi le protezioni specifiche per Microsoft Office, come EMET e Windows Defender Exploit Guard, non sono applicabili a “eqnedt32.exe” a meno che non vengano imposte a livello di sistema.

Queste singolarità forniscono agli aggressori una via ottimale per veicolare attacchi, infatti si “invitano” gli obiettivi ad aprire documenti appositamente predisposti con la conseguente possibilità di eseguire comandi o codici. Le possibili varianti di attacco, associabili a diversi processi nativi di Windows, spiegano il forte interesse ad utilizzare malware per sfruttare questa vulnerabilità nonostante sia, almeno teoricamente, risolta. Tra le migliaia di eventi cyber che sfruttano questa falla, molti usano le tecniche sopra descritte, chiamando direttamente cmd.exe o usando mshta.exe o cscript.exe per eseguire uno script remoto da un server controllato da un attaccante. La tabella seguente, relativa ad una specifica pubblicazione di Palo Alto, mostra in tal senso le tecniche possibili:

Di seguito una rappresentazione grafica di un flusso di attacco via e-mail che utilizza un file WordPad contenente il codice dannoso. Si noti come, una volta eseguito il codice, la catena d’infezione può ramificarsi aprendo a differenti utilizzi tra cui alcuni di quelli precedentemente indicati:

Conclusione e mitigazione:

Si ricorda che la falla principale nell’editor dell’equazione è stata individuata ben 17 anni dopo il rilascio del modulo ed è stata risolta da Microsoft a novembre 2017. Gli utenti che utilizzano versioni MS Office con gli aggiornamenti di sicurezza non sono direttamente esposti da questa tipologia di malspam. La vulnerabilità associata al CVE-2017-11882 è però tutt’ora presente in molti sistemi perciò è molto probabile che possa essere sfruttata anche nei mesi a venire. Per rimediare a questo problema, gli amministratori devono distribuire la patch di Microsoft disponibile qui. Invece coloro che non possono distribuire la patch dovrebbero prendere in considerazione la disabilitazione dell’Equation Editor come indicato nell’articolo presente nella Knowledge Base Microsoft.

Indicatori di compromissione

Si riportano gli indicatori di compromissione associati a file RTF e XLS, armati per sfruttare il CVE-2017-11882, rilevati nel frangente temporale 1-12 giugno 2019 ed aventi un diretto impatto in Italia.

  • IoC (.txt) – File globale : hash files (SHA256), Domini, IP
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr