Quadruplicati gli attacchi su Office nel 2018

06/05/2019

Adobe Microsoft Vulnerabilità

In base ai dati raccolti da Kaspersky Lab in occasione del Security Analyst Summit, circa il 70% degli attacchi rilevati nel quarto trimestre 2018 hanno sfruttato vulnerabilità di Microsoft Office e questa percentuale risulta quadruplicata rispetto allo stesso trimestre del 2016.

Il report di Recorded Future conferma che 6 tra le 10 top vulnerability del 2018 potrebbero essere sfruttate su documenti Office. L’elenco che segue mostra le relazioni tra le vulnerabilità più sfruttate nel 2018 con il relativo CVSS, i prodotti impattati e le minacce:

# CVE CVSS Prodotto Malware / Exploit kit
1 CVE-2018-8174 7.6 Microsoft Office Fallout Exploit Kit, KaiXin Exploit Kit, LCG Kit Exploit Kit, Magnitude Exploit Kit, RIG Exploit Kit, Trickbot, Underminer Exploit Kit
2 CVE-2018-4878 7.5 Adobe Flash Player Fallout Exploit Kit, GreenFlash Exploit Kit, Hermes Ransomware, Sundown Exploit Kit, Threadkit Exploit Kit
3 CVE-2017-11882 9.3 Microsoft Office AgentTesla, Andromeda, BONDUPDATER, HAWKEYE, LCG Kit, Loki, POWRUNNER, QuasarRAT, REMCOS RAT, ThreadKit Exploit Kit
4 CVE-2017-8750 7.6 Microsoft Office Formbook, Loki, QuasarRAT
5 CVE-2017-0199 9.3 Microsoft Office DMShell++, njRAT, Pony, QuasarRAT, REMCOS RAT, SHUTTERSPEED, Silent Doc Exploit Kit, Threadkit Exploit Kit
6 CVE-2016-0189 7.6 Microsoft Internet Explorer Grandsoft Exploit Kit, KaiXin Exploit Kit, Magnitude Exploit Kit, RIG Exploit Kit, Underminer Exploit Kit
7 CVE-2017-8570 9.3 Microsoft Office Formbook, QuasarRAT, Sisfader RAT, Threadkit Exploit Kit, Trickbot
8 CVE-2018-8373 7.6 Microsoft Internet Explorer Quasar RAT
9 CVE-2012-0158 9.3 Microsoft Office Silent Doc Exploit, PlugX
10 CVE-2015-1805 7.2 Google Android AndroRAT

La ricerca svolta da Recorded Futures attraverso l’analisi di un repository di 492 RAT e informazioni ricavate da migliaia sorgenti aperte e del deep/dark web, evidenzia una diminuzione degli exploit-kit (5 nel 2018 rispetto ai 10 del 2017) e dei Remote Access Trojan (35 nel 2018 rispetto ai 47 del 2017), minaccia che permette all’attaccante di prendere il controllo completo della macchina target. Per quanto riguarda gli exploit, Microsoft risulta di gran lunga più colpita rispetto ad Adobe: ben 8 vulnerabilità su 10 sono state sfruttate da exploit sui prodotti Microsoft e solo 1 su Adobe (Flash). Probabilmente il minor impatto sui prodotti Adobe è dovuto alla graduale dismissione di Flash, prevista per il 2020. Questo è il secondo anno consecutivo che Microsoft rientra tra le 10 vulnerabilità top dell’anno: nel 2017 i suoi prodotti risultavano vulnerabili a 7 vulnerabilità su 10, mentre nel 2016 e 2015 la classifica interessava maggiormente i prodotti Adobe.

Come accade ogni anno, le vulnerabilità continuano a essere sfruttate anche negli anni successivi (mediamente fino a 7 anni secondo il rapporto RAND del 2017). Lo stesso è accaduto nel 2018 con alcune vecchie vulnerabilità, come la CVE-2017-0199, una top vulnerability sfruttata nel 2017 su Office e passata nel 2019 al 5° posto grazie all’inclusione in ThreadKit, oppure la CVE-2016-0189, attualmente inclusa in 5  exploit kit, che risultava al 1° posto nel 2016 , al 2° nel 2017 e al 6° sesto nel 2018.

In realtà, secondo Kaspersky, nessuna delle vulnerabilità più sfruttate nel 2018 si trova nel core di Office, ma nei suoi componenti. Ad esempio le CVE-2017-11882 (sfruttata da 10 malware/exploit-kit) e CVE-2018-0802 impattano il componente “Equation Editor” e rappresentano vulnerabilità molto importanti poichè possono essere sfruttate su tutte le versioni di Office degli ultimi 17 anni. Ma anche quando le vulnerabilità non impattano direttamente gli applicativi Office o su i suoi componenti,  possono comunque essere sfruttate sui file di Office, come ad esempio le seguenti:

  • CVE-2018-8174, un bug nel “Windows VBScript engine” (componente di Office per l’elaborazione dei documenti) incluso in ben 7 exploit-kit;
  • CVE-2016-0189 e CVE-2018-8373, vulnerabilità sul “scripting engine di Internet Explorer”, inclusi rispettivamente in 5 e 1 exploit-kit.

Nonostante lo sviluppo di exploit-kit stia diminuendo (5 nuovi kit nel 2018, 10 del 2017 e 62 del 2016), i ricercatori di Record Future  sottolineano che il mercato è ancora attivo. ThreadKit, l’exploit-kit che include 4 delle top vulnerability del 2018 (CVE-2018-4878, CVE-2017-11882, CVE-2017-0199 e la CVE-2017-8570) è risultato il più discusso sul dark web durante lo scorso anno. Infatti è ancora venduto nel black market a 400$ e il suo ultimo aggiornamento risale al 28 dicembre 2018 con l’inclusione del CVE-2018-15982, uno zero day legato ad Adobe.

Conclusioni

Nonostante la riduzione degli exploit-kit e dei RAT, lo sfruttamento di vecchie vulnerabilità è sempre presente, dovuto molto probabilmente ad una lenta applicazione degli aggiornamenti e delle patch di sicurezza, come evidenziato dal report di AdDuplex. Ciò va in contro tendenza con la velocità di sfruttamento delle vulnerabilità da parte degli attaccanti, spesso favoriti dalla pubblicazione di proof-of-concept di zero-day.

Alcune raccomandazioni

Il CERT-PA suggerisce agli utenti e amministratori di sistema di dare priorità a tutte le patch che risolvono le top vulnerability elencate in questo post, senza dimenticare le vulnerabilità più vecchie, considerando che queste mediamente rimangono sfruttabili per quasi sette anni.