Aggiornamenti recenti Agosto 18th, 2025 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- CERT-AGID 9 – 14 agosto: gli alberghi italiani ancora sotto attacco
- Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e sospetti di backdoor
- Ondata di attacchi brute-force contro le VPN Fortinet, poi FortiManager
- Un invito Google Calendar bastava per prendere il controllo di Gemini
- CERT-AGID 2 – 8 agosto: rubati documenti d’identità a clienti di hotel italiani
La vulnerabilità eterna di Office continua a mietere vittime
Di solito, quando una vulnerabilità viene individuata imbocca l’inesorabile via del tramonto. Il bug viene corretto tramite aggiornamenti, le tecniche di attacco inserite nei database degli antivirus. Insomma: una volta individuata, la vulnerabilità di solito ha vita breve.
Ogni regola, però, ha la sua eccezione. In questo caso l’eccezione si chiama CVE-2012-0158, una vulnerabilità dei programmi Office che perseguita gli esperti di sicurezza dall’ormai lontano aprile 2012.
Ad analizzare nel dettaglio la straordinaria storia di CVE-2012-0158 ci hanno pensato i ricercatori di Sophos, incuriositi da questa vera e propria “vulnerabilità highlander”.
Tra le vulnerabilità che affliggono Office, CVE-2012-015 è quella ancora più utilizzata dai cyber-criminali.
Secondo Graham Chantry, i fattori che hanno portato alla straordinaria longevità di questo exploit sono quattro.
Prima di tutto il fatto che consente di attaccare un numero di utenti estremamente elevato. Office, infatti, è uno dei pacchetti di software per la produttività più diffusi al mondo, un elemento che rende anche poco sospetto l’invio di allegati nei formati collegati a Office.
In secondo luogo, CVE-2012-0158 è una falla particolarmente “appetitosa” per i cyber-criminali. La vulnerabilità, infatti, permette di avviare una “arbitrary code execution”, cioè l’installazione diretta di un malware.
Infine, le modalità di attacco utilizzate da CVE-2012-0158 consentono di aggirare più facilmente di altri i controlli dei sistemi antivirus. La ragione? La vulnerabilità nel corso degli anni è stata combinata con altre per renderla ancora più insidiosa.
Gli esempi portati dagli analisti di Sophos sono illuminanti e comprendono, per esempio, un altro bug (sigh) che consentiva di nascondere l’exploit all’interno di un file Office protetto da crittografia.
Normalmente, infatti, per aprire un file crittografato attraverso il Microsoft Base Cryptographic Provider v 1.0 è necessaria una password. I ragazzi di Redmond, però, hanno pensato bene di prevedere una password di default (VelvetSweatshop) che il programma prova a utilizzare ogni volta che si trova davanti a un file crittografato con questo metodo.
Codice offuscato da crittografia, ma con una password predefinita che il programma prova automaticamente.
Risultato: l’antivirus non può controllare il codice, ma se è protetto con la password di defautl questo viene eseguito senza alcun bisogno di una conferma da parte dell’utente. Geniale.
Quando gli esperti di sicurezza sono riusciti ad adottare tecniche di rilevazione in grado di individuare il codice maligno all’interno dei file crittografati, i cyber-criminali hanno cominciato a utilizzare nuove strategie, sfruttando le potenzialità del formato Rich Text Format (RTF) per offuscare il codice dell’exploit.
Stando a quanto riportato dagli analisti di Sophos, i pirati informatici negli ultimi anni hanno usato migliaia di varianti diverse per sfruttare CVE-2012-0158 offuscando il codice attraverso stratagemmi sempre più sofisticati.
Ma com’è possibile che una vulnerabilità così conosciuta e sfruttata dai pirati informatici sia ancora efficace? Oltre alla straordinaria versatilità di questa vulnerabilità, che ne rende difficile l’individuazione, la colpa in definitiva è degli utenti, che sembrano mantenere una sorta di “allergia” nei confronti degli aggiornamenti.
I computer vulnerabili sono ancora molti (troppi) con una prevalenza in Est Europa e Asia.
Stando alle statistiche riportate da Sophos, infatti, i computer ancora vulnerabili a CVE-2012-0158 sarebbero molti. Nel dettaglio, in Europa occidentale e USA sarebbero ancora vulnerabili circa il 15% dei computer in circolazione. Ma Asia ed Est Europa fanno molto peggio, con oltre il 50% delle macchine esposte agli attacchi. La media, su scala globale, è di un 35% di computer vulnerabili.
Insomma: a 4 anni dalla sua scoperta CVE-2012-0158 è quanto di più si possa avvicinare all’exploit ideale per un attacco informatico.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
2 thoughts on “La vulnerabilità eterna di Office continua a mietere vittime”
Leave a Reply
Devi essere connesso per inviare un commento.
Approfondimenti
-
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
CERT-AGID 9 – 14 agosto: gli alberghi italiani ancora... Nel corso di questa settimana il CERT-AGID ha rilevato -
Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e... Le tensioni tra Stati Uniti e Cina si spostano sul... -
Ondata di attacchi brute-force contro le VPN Fortinet, poi... Una nuova campagna di attacchi informatici sta prendendo di... -
Un invito Google Calendar bastava per prendere il controllo... Una vulnerabilità in Google Calendar consentiva a un... -
CERT-AGID 2 – 8 agosto: rubati documenti d’identità a... La scorsa settimana il CERT-AGID ha rilevato e analizzato...
Ransomware: la serie
No posts found.
Vediamo come funzano i commenti
Beh, funzionano…