CVE-2017-11882: Vulnerabilità di Due Decenni Fa in Microsoft Office Ancora Attivamente Utilizzata per la Distribuzione di Malware

[post-views]
Aprile 01, 2021 · 4 min di lettura
CVE-2017-11882: Vulnerabilità di Due Decenni Fa in Microsoft Office Ancora Attivamente Utilizzata per la Distribuzione di Malware

Nonostante sia stato patchato già da tre anni, si riporta che gli hacker facciano affidamento su una vecchia vulnerabilità di esecuzione di codice remoto in Microsoft Office (CVE-2017-11882) per infettare le vittime con malware. Secondo l’analisi delle minacce rapporto di HP Bromium, la falla rappresenta quasi tre quarti di tutti gli exploit utilizzati nel quarto trimestre del 2020.

Descrizione di CVE-2017-11882

CVE-2017-11882 è un errore di corruzione della memoria nell’Equation Editor di Microsoft Office che consente l’esecuzione di codice remoto su dispositivi vulnerabili. Gli hacker possono sfruttare la falla ingannando gli utenti ad aprire un file appositamente creato. In caso di sfruttamento riuscito, gli avversari ottengono la capacità di eseguire codice arbitrario nel contesto del corrente utente. Se l’utente ha effettuato l’accesso con privilegi amministrativi, gli attaccanti sarebbero in grado di prendere il pieno controllo sull’istanza mirata.

La vulnerabilità è stata introdotta in Microsoft Office quasi 20 anni fa e corretta dal venditore nel 2017 con il rilascio del Patch Tuesday di novembre. Tuttavia, la correzione ufficiale non ha mai fermato gli avversari dallo sfruttamento attivo sul campo. Dal 2017, la vulnerabilità è stata continuamente utilizzata per distribuire vari campioni di malware, tra cui Loki, FormBook, Pony, ZBOT, Ursnif, Agent Tesla e altri. L’estrema popolarità degli exploit dell’Equation Editor, incluso CVE-2017-11882, deriva dal fatto che gli utenti di Microsoft Office spesso non aggiornano i loro sistemi tempestivamente, lasciando una porta aperta per gli hacker.

Sfruttamento di CVE-2017-11882 in natura

La indagine congiunta del Dipartimento della Sicurezza Interna, dell’FBI e del governo degli Stati Uniti pone CVE-2017-11882 nella lista delle falle più frequentemente utilizzate dagli attori di minacce avanzate nelle loro operazioni malevole. Secondo il rapporto, hacker cinesi, nordcoreani e russi fanno continuamente leva sul bug di Microsoft Office almeno dal 2016.

Secondo l’analisi di HP Bromium, questa tendenza si è solo intensificata nel 2020, rendendo CVE-2017-11882 il principale exploit per il terzo e quarto trimestre del 2020. In particolare, nel terzo trimestre del 2020, la vulnerabilità di Microsoft Office ha rappresentato quasi il 90% degli exploit in uso. E durante il quarto trimestre del 2020, il 74% di tutti gli attacchi informatici che sfruttavano exploit non patchati si basavano su CVE-2017-11882.

Rilevazione e Mitigazione

In considerazione dell’estrema popolarità di CVE-2017-11882, agli utenti è consigliato aggiornare i propri servizi il prima possibile per rimanere sicuri. Per rilevare possibili attacchi informatici che sfruttano la vulnerabilità contro i vostri sistemi, potete scaricare una nuova regola Sigma della comunità dal nostro esperto sviluppatore Threat Bounty Aytek Aytemur

https://tdm.socprime.com/tdm/info/vXBEcFu7I9p6/Zbvhg3gBcFeKcPZnWpvo

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black, Sentinel One, Microsoft Defender ATP

MITRE ATT&CK:

Tattiche: Esecuzione, Scoperta

Tecniche: Sfruttamento per Esecuzione Cliente (T1203), Interrogazione del Registro (T1012), Scoperta Informazioni di Sistema (T1082)

Inoltre, potete esplorare l’ elenco completo delle rilevazioni di CVE-2017-1182 disponibile nel Threat Detection Marketplace. Rimanete sintonizzati sul nostro blog per ulteriori aggiornamenti.

Iscriviti al Threat Detection Marketplace gratuitamente e accedi alla prima libreria di contenuti SOC aggregando oltre 100K regole di rilevazione e risposta mappate su matrice MITRE ATT&CK e applicabili alla soluzione di sicurezza in uso. Ispirati a sviluppare le tue regole Sigma? Unisciti al nostro Programma Threat Bounty! Sei entusiasta di potenziare le tue competenze di caccia alle minacce? Leggi la nostra Guida alle Regole Sigma per principianti.

Vai alla piattaforma Unisciti a Threat Bounty

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento del Backdoor MQsTTang: Nuovo Malware Personalizzato da Mustang Panda APT Utilizzato Attivamente nella Più Recente Campagna Contro Enti Governativi
Blog, Ultime Minacce — 4 min di lettura
Rilevamento del Backdoor MQsTTang: Nuovo Malware Personalizzato da Mustang Panda APT Utilizzato Attivamente nella Più Recente Campagna Contro Enti Governativi
Daryna Olyniychuk
Rilevamento MagicWeb: NOBELIUM APT Utilizza un Sofisticato Bypass di Autenticazione
Blog, Ultime Minacce — 4 min di lettura
Rilevamento MagicWeb: NOBELIUM APT Utilizza un Sofisticato Bypass di Autenticazione
Anastasiia Yevdokimova
Rilevamento malware su PyPi: Furto di token Discord per diffondere malware
Blog, Ultime Minacce — 3 min di lettura
Rilevamento malware su PyPi: Furto di token Discord per diffondere malware
Anastasiia Yevdokimova