Rischio di attacchi omografici per tutti i programmi di Microsoft Office

 
 
 

Tratto da www.bitdefender.it – 06/06/2022

Bitdefender Labs annuncia che tutti i programmi MS Office (inclusi Outlook, Word, Excel, OneNote e PowerPoint) sono vulnerabili agli attacchi omografici ai nomi di dominio internazionalizzati (IDN).

Un attacco omografico consiste nell’utilizzare domini con nomi molto simili agli originali, appartenenti a marchi noti o all’azienda obiettivo dell’attacco del criminale informatico ( l’attacco omografico più semplice consiste nel sostituire “o” con “0” ad esempio g00gle.com), con la finalità di attirare gli utenti su siti fasulli e di ottenere così dati personali, di diffondere malware o rendere più credibile una mail di phishing, facendo credere al malcapitato di essere nel sito web originale. Tuttavia, gli attacchi omografici IDN possono essere irriconoscibili dai domini a cui stanno facendo spoofing, perché le lettere dei vari alfabeti sono quasi identiche.

Sebbene il rischio di attacchi omografici IDN sia stato rilevato nei browser web, Bitdefender ha riscontrato che i nomi di dominio oggetto di spoofing utilizzati nelle applicazioni MS Office rimangono cammuffati, rendendo elevata la probabilità di clic da parte dell’utente.

Principali rilevazioni

  • Bitdefender ha scoperto che tutte le applicazioni di Microsoft Office rimangono vulnerabili agli attacchi di tipo omografico IDN.
  • Bitdefender ha testato altre applicazioni di produttività e ha riscontrato un comportamento incoerente: alcune applicazioni visualizzano sempre l’indirizzo reale, mentre altre visualizzano un nome internazionale.
  • Bitdefender ha segnalato questo problema a Microsoft nell’ottobre 2021 e il Microsoft Security Response Center ha confermato la validità dei risultati del vendor. Ad oggi non è ancora chiaro se e quando Microsoft risolverà il problema.
  •  Gli attacchi al nome di dominio internazionalizzato sono uno strumento efficace che gli avversari di alto livello (APT o RaaS) possono utilizzare contro obiettivi di alto valore (aziende o persone). Bitdefender ha osservato attacchi di spoofing che hanno preso di mira istituzioni finanziarie e borse di criptovalute.

Le raccomandazioni di Bitdefender

  • Considerare la possibilità di attacchi omografici nei momenti di formazione e di sensibilizzazione degli utenti, compresa la possibilità di attacchi omografici contro la supply chian dell’azienda.
  • Implementare una soluzione di sicurezza per gli endpoint che rilevi e blocchi i siti web dannosi.
  • Utilizzare i servizi di reputazione di IP e URL per tutti i dispositivi aziendali. Una semplice regola da tenere in considerazione: se l’URL inizia con xn--, il sito è sospetto.

Ogni mese Bitdefender esamina i dati della sua telemetria per ottenere maggiori informazioni sul panorama delle minacce in merito agli attacchi omografici. Analizzando queste informazioni emerge una chiara tendenza a prendere di mira le operazioni finanziarie, con un focus primario sui mercati delle criptovalute.

4 Luglio 2022

Follina: file di Office come cavallo di troia

 
Tratto da Blog Kaspersky
Autore:  Editorial Team – 02/06/2022
 
 

La nuova vulnerabilità CVE-2022-30190, nota come Follina, consente di sfruttare il Windows Support Diagnostic Tool attraverso i file di MS Office

 

 

I ricercatori hanno scoperto un’altra grave vulnerabilità nei prodotti Microsoft che potenzialmente permette agli hacker di eseguire un codice arbitrario. Il MITRE ha classificato questa vulnerabilità con il nome di CVE-2022-30190, mentre i ricercatori l’hanno chiamata in modo un po’ poetico Follina. La cosa più preoccupante è che non esiste ancora un fix per questo bug e ciò che è ancor più grave è che la vulnerabilità viene già sfruttata attivamente da molti criminali informatici. L’aggiornamento è in fase di sviluppo, ma nel frattempo consigliamo a tutti gli utenti e amministratori di Windows di utilizzare workaround temporanei.

Che cos’è CVE-2022-30190 e quali sono i prodotti interessati?

La vulnerabilità CVE-2022-30190 è contenuta nello strumento di diagnostica Microsoft Windows Support Diagnostic Tool (al quale ci riferiremo con la sua sigla MSDT), il che non sembra un grosso problema. Purtroppo, a causa dell’implementazione di questo strumento, la vulnerabilità può essere sfruttata tramite un file MS Office dannoso.

L’MSDT è un’applicazione utilizzata per raccogliere automaticamente informazioni diagnostiche e inviarle a Microsoft quando qualcosa non funziona su Windows. Lo strumento può essere richiamato da altre applicazioni (Microsoft Word è l’esempio più noto) attraverso un protocollo URL speciale di MSDT. Se la vulnerabilità viene sfruttata con successo, un utente malintenzionato può eseguire un codice arbitrario con i privilegi dell’applicazione che ha richiamato l’MSDT, ovvero, in questo caso, con i diritti dell’utente che ha aperto il file dannoso.

La vulnerabilità CVE-2022-30190 può essere sfruttata in tutti i sistemi operativi della famiglia Windows, sia desktop che server.

Come i cyber-criminali sfruttano CVE-2022-30190

Per capire come funziona un attacco, i ricercatori che hanno scoperto questa vulnerabilità offrono il seguente esempio.

I criminali creano un documento Office dannoso e fanno in modo che la vittima lo riceva. Il modo più comune per farlo è inviare un’e-mail con un allegato dannoso, condito con qualche classico stratagemma di social engineering per convincere il destinatario ad aprire il file in questione. Per esempio, un e-mail con un messaggio del tipo “controlla urgentemente il contratto, firma domani mattina” potrebbe funzionare.

Il file infetto contiene un link a un file HTML che contiene a sua volta un codice JavaScript capace di eseguire un codice dannoso nella riga di comando tramite l’MSDT. Se lo sfruttamento va a buon fine, gli hacker possono installare programmi, visualizzare, modificare o distruggere dati, nonché creare nuovi account, ovvero avere il via libera all’interno del sistema utilizzando i privilegi della vittima.

Come proteggersi

Come menzionato in precedenza, non esiste ancora una patch. Nel frattempo, Microsoft consiglia disabilitare il protocollo URL di MSDT. Per farlo, è necessario aprire il prompt dei comandi con diritti di amministratore ed eseguire il comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f. Prima di farlo, vi raccomandiamo di eseguire un back up del registro eseguendo il seguente codice: reg export HKEY_CLASSES_ROOT\ms-msdt filename. In questo modo, potrete ripristinare velocemente il registro con il comando reg import filename non appena questo workaround non sarà più necessario.

Naturalmente, questa è solo una misura temporanea e la cosa migliore sarebbe installare, non appena disponibile, l’aggiornamento che corregga la vulnerabilità Follina.

I metodi descritti per sfruttare questa vulnerabilità prevedono l’uso di e-mail con allegati dannosi e metodi di social engineering. Pertanto, si consiglia di prestare ancora più attenzione del normale alle e-mail provenienti da mittenti sconosciuti, in particolare ai file Office allegati. Per le aziende, è opportuno sensibilizzare regolarmente i dipendenti circa i trucchi più importanti e comuni utilizzati dagli hacker.

Inoltre, tutti i dispositivi con accesso a Internet dovrebbero essere dotati di solide soluzioni di sicurezza. Tali soluzioni possono impedire l’esecuzione di codici dannosi sul computer dell’utente anche quando si sfrutta una vulnerabilità sconosciuta.

6 Giugno 2022

Una vulnerabilità di Internet Explorer minaccia gli utenti di Microsoft Office

 
Tratto da Blog Kaspersky
Autore: Hugh Aver – 09/09/2021
 
 

Una vulnerabilità non risolta nel motore MSHTML apre la porta ad attacchi rivolti agli utenti di Microsoft Office

 
 

Microsoft ha segnalato una vulnerabilità zero-day, indicata come CVE-2021-40444, il cui sfruttamento consente l’esecuzione remota di un codice dannoso sui computer delle vittime. Il problema è che i criminali informatici stanno già sfruttando questa vulnerabilità per attaccare gli utenti di Microsoft Office. Pertanto, Microsoft sta consigliando agli amministratori di rete Windows di impiegare un workaround temporaneo fino a quando non sarà rilasciata una patch.

CVE-2021-40444: tutti i dettagli

La vulnerabilità si trova nel motore di Internet Explorer, MSHTML. Anche se poche persone usano IE al giorno d’oggi (anche Microsoft raccomanda vivamente di passare al suo nuovo browser Edge), il vecchio browser rimane un componente dei sistemi operativi moderni, e alcuni programmi utilizzano il suo motore per gestire i contenuti web. In particolare, le applicazioni di Microsoft Office come Word e PowerPoint si affidano a esso.

Come stanno sfruttando gli hacker la vulnerabilità CVE-2021-40444?

Gli attacchi appaiono come controlli ActiveX dannosi incorporati in documenti Microsoft Office. I controlli permettono l’esecuzione di un codice arbitrario e i documenti molto probabilmente arrivano come allegati di messaggi e-mail. Come succede per qualsiasi documento allegato, gli hacker devono convincere le vittime ad aprire il file.

In teoria, Microsoft Office gestisce i documenti ricevuti su Internet in Visualizzazione Protetta o attraverso Application Guard for Office, ed entrambi possono prevenire un attacco che sfrutta la vulnerabilità CVE-2021-40444. Tuttavia, gli utenti possono fare click sul pulsante “Abilita modifica” senza pensarci, disattivando così i meccanismi di sicurezza di Microsoft.

 

 

Notifica della modalità di visualizzazione protetta su Microsoft Word.

Come proteggere la vostra azienda dalla vulnerabilità CVE-2021-40444

Microsoft ha promesso di indagare e, se necessario, rilasciare una patch ufficiale. Detto questo, non ci aspettiamo una patch prima del 14 settembre, il prossimo Patch Tuesday. In circostanze normali, l’azienda non annuncerebbe una vulnerabilità prima del rilascio di una soluzione, ma poiché i criminali informatici stanno già sfruttando la vulnerabilità CVE-2021-40444, Microsoft raccomanda di optare subito per un workaround temporaneo.

Il workaround consiste nel proibire l’installazione di nuovi controlli ActiveX, cosa che potete fare aggiungendo alcune chiavi al registro di sistema. Microsoft fornisce informazioni dettagliate sulla vulnerabilità, inclusa una sezione Workaround (in cui ci sono istruzioni su come disabilitare il workaround una volta che non ne avete più bisogno). Secondo Microsoft, il workaround non dovrebbe avere conseguenze sulle prestazioni dei controlli ActiveX già installati.

Da parte nostra, raccomandiamo quanto segue:

  • Installate una soluzione di sicurezza a livello del gateway di posta aziendale o migliorate i meccanismi di sicurezza standard di Microsoft Office 365 per proteggere la posta aziendale dagli attacchi;
  • Dotate tutti i computer dei dipendenti di soluzioni di sicurezza in grado di rilevare lo sfruttamento delle vulnerabilità;
  • Rendete maggiormente consapevoli i dipendenti delle moderne minacce informatiche su base regolare, in particolare ricordando loro di non aprire mai documenti che provengono da fonti non attendibili, né tantomeno di attivare la modalità di modifica a meno che non sia assolutamente necessario.
 

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.com

 

10 Settembre 2021

Trucchi di phishing con Microsoft Office

Tratto da Blog Kaspersky
Autore: Roman Dedenok – 22/04/2021
 
 
Se in un’e-mail vi chiedono di accedere al vostro account MS Office, ecco cosa dovreste fare
 
 
 

 

Con l’accesso alla casella di posta elettronica aziendale, i criminali informatici possono eseguire attacchi BEC (Business E-mail Compromise). Ecco perché vediamo così tante e-mail di phishing che invitano gli utenti aziendali ad accedere a siti web simili alla pagina di login di MS Office. Per questo motivo, se ci imbattiamo in un link che reindirizza a una pagina di questo tipo, è molto importante sapere a cosa prestare attenzione.

I tentativi da parte dei criminali informatici di rubare le credenziali di accesso agli account di Microsoft Office non sono una novità. Tuttavia, i metodi che i cybercriminali utilizzano stanno diventando sempre più sofisticati. In questo post analizzeremo un caso reale, un’e-mail che abbiamo ricevuto per davvero e che ci servirà per parlare delle best practices da adottare in questi casi e per descrivere i nuovi trucchi attualmente in circolazione.

Nuovo trucco di phishing: l’allegato HTML

Un’e-mail di phishing normalmente contiene un link a un sito web falso. Come ricordiamo di frequente, questi link devono essere esaminati attentamente sia per l’aspetto generale che per gli effettivi indirizzi web a cui reindirizzano (nella maggior parte dei client di posta e delle interfacce web, se passiamo il mouse sull’URL, visualizzeremo l’indirizzo di destinazione). Sicuramente, dopo essersi resi conto che un buon numero di persone aveva assimilato questa semplice precauzione, i phisher hanno iniziato a sostituire i link con un file HTML in allegato, il cui unico scopo è quello di automatizzare il reindirizzamento.

Cliccando sull’allegato HTML, si apre una pagina del browser. Per quanto riguarda il suo aspetto, il file di phishing contiene una sola linea di codice (javascript: window.location.href) con l’indirizzo del sito web di phishing come eventuale variabile. Il file obbliga il browser ad aprire il sito web nella stessa finestra.

Cosa cercare in un’e-mail di phishing

Nuove tattiche a parte, il phishing è sempre phishing, quindi dobbiamo partire dall’e-mail. Ecco quella che abbiamo ricevuto. In questo caso, si tratta di una falsa notifica di un messaggio vocale in arrivo:

 

Un'e-mail di phishing

Prima di cliccare sull’allegato, abbiamo alcune domande su cui vi invitiamo a riflettere:

  1. Conoscete il mittente? È probabile che il mittente vi lasci un messaggio vocale al lavoro?
  2. È pratica comune nella vostra azienda inviare messaggi vocali via e-mail? Non che si usi molto al giorno d’oggi, e poi Microsoft 365 non supporta più la posta vocale da gennaio 2020;
  3. Sapete quale app ha inviato la notifica? MS Recorder non fa parte del pacchetto Office, e comunque, l’app predefinita di Microsoft per la registrazione del suono, che potrebbe in teoria inviare messaggi vocali, si chiama Voice Recorder, non MS Recorder;
  4. L’allegato ha le sembianze di un file audio? Voice Recorder può condividere registrazioni vocali, ma le invia come file .m3a. Anche se la registrazione proviene da uno strumento a voi sconosciuto ed è custodita su un server, dovreste ricevere un link e non un allegato.

In sintesi: abbiamo un’e-mail inviata da un mittente sconosciuto che ci ha mandato un presunto messaggio vocale (una funzione che non usiamo mai) registrato con un programma sconosciuto, mandato come pagina web in allegato. Vale la pena di continuare? Certamente no.

Come riconoscere una pagina di phishing

Supponiamo che abbiate cliccato su quell’allegato e che siate finiti su una pagina di phishing. Come capire che non si tratti di un sito legittimo?

 

Una pagina web di phishing

 

Ecco a cosa bisogna prestare attenzione:

  1. Quanto visualizzato nella barra degli indirizzi ha l’aspetto di un indirizzo Microsoft?
  2. I link “Non riesci ad accedere al tuo account?” e “Accedi con una chiave di sicurezza” vi reindirizzano dove dovrebbero? Anche in una pagina di phishing, potrebbero portare a vere pagine Microsoft anche se, nel nostro caso, i link erano inattivi (un chiaro segno di truffa);
  3. Vi convince ciò che visualizzate nella finestra? Microsoft normalmente non ha problemi con dettagli come la dimensione dell’immagine di fondo. Le sviste o gli errori possono capitare a chiunque, naturalmente, ma certe anomalie dovrebbero far scattare l’allarme;

In ogni caso, se avete qualche dubbio, andate su https://login.microsoftonline.com/ per verificare come appare la vera pagina di accesso di Microsoft.

Come non cadere nella trappola

Ecco cosa fare per evitare di consegnare le password dei vostri account Office nelle mani di cybercriminali sconosciuti:

  • State sempre all’erta. Le nostre domande di questo post vi aiuteranno a evitare le forme più semplici di phishing.
  • Proteggete le caselle di posta dei dipendenti con una soluzione specifica per Office 365, per smascherare i tentativi di phishing che sfruttano link o file HTML in allegato, e avvaletevi di una protezione per endpoint che impedisca l’accesso a siti di phishing.

Ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

23 Aprile 2021

Blog & News

Categorie