Minacce nei documenti
Le minacce nei link dei documenti Office sono un metodo comune utilizzato da attori delle minacce di diversa abilità per distribuire malware e phishing di credenziali. Tuttavia, i link nei documenti Office sono spesso utilizzati per la distribuzione di phishing di credenziali più che di malware. I documenti Office possono essere creati in vari formati e stili per aumentare la credibilità della loro autenticità.
Malware con JavaScript dropper
Un altro esempio di minaccia con link in documenti Office è un’email di una campagna DarkGate che contiene un foglio di calcolo Excel con un link a un dropper JavaScript che scarica e avvia il malware DarkGate.
QR codes nei documenti Office
I QR codes nei documenti Office sono un enigma in termini di minacce informatiche. Sebbene richiedano uno sforzo maggiore da parte dell’utente per interagire con essi, offrono una maggiore capacità di eludere la sicurezza automatizzata, specialmente quando incorporati in immagini o file. Questo può rendere più difficile rilevare i dati sottostanti del QR code, facilitandone l’aggiramento delle soluzioni di sicurezza come i gateway email o i sistemi di sicurezza email (SEG).
Credential phishing con QR code
Il documento Word è protetto da password ed è stato visto in diversi inbox di utenti, con un QR code che conduce a una pagina di phishing MOHRSS.
Office Macros
Le macro Office sono script integrati nei documenti Office che possono automatizzare attività ripetitive. Tuttavia, possono essere utilizzate anche per distribuire malware.
Malware con macro VBA
Un documento Word allegato a un’email contiene una macro malevola che si esegue automaticamente quando l’utente apre il file. Questo tipo di documenti è particolarmente pericoloso, poiché richiede uno sforzo minimo da parte dell’utente per avviare il processo di infezione.
Vulnerabilità
CVE-2017-11882
La vulnerabilità “Microsoft Office Memory Corruption Vulnerability” o CVE-2017-11882 è una vulnerabilità che utilizza l’editor di equazioni integrate in Office, che consente la visualizzazione di equazioni matematiche LaTeX in un documento. L’editor di equazioni ha una vulnerabilità di overflow del buffer che consente l’iniezione di codice dannoso nel programma e l’esecuzione una volta che l’utente ha aperto il documento.
CVE-2017-0199
La vulnerabilità “Microsoft Office/WordPad Remote Code Execution Vulnerability” o CVE-2017-0199 consente l’esecuzione di codice remoto per recuperare payload da risorse remote per l’infezione. Questa vulnerabilità è spesso utilizzata in combinazione con la vulnerabilità CVE-2017-11882 per creare una catena di infezione.
Best practice per la sicurezza dei documenti Office
Suggerimenti per la sicurezza dei documenti Office:
- Mantieni aggiornati i software e i sistemi operativi: Assicurati che i software e i sistemi operativi siano aggiornati con le patch più recenti per proteggerti dalle vulnerabilità note.
- Abilita la protezione in tempo reale e la sandboxing: Utilizza soluzioni di sicurezza che offrano protezione in tempo reale e sandboxing per analizzare e bloccare i file sospetti.
- Utilizza soluzioni di sicurezza email e gateway email: Implementa soluzioni di sicurezza email e gateway email per filtrare e bloccare le email dannose e i file allegati sospetti.
- Educare gli utenti a riconoscere e segnalare le minacce: Fornisci formazione e sensibilizzazione sulla sicurezza agli utenti per riconoscere e segnalare le minacce, come email di phishing e file sospetti.
- Implementa la segmentazione della rete e il controllo degli accessi: Utilizza la segmentazione della rete e il controllo degli accessi per limitare la diffusione laterale del malware all’interno della rete aziendale.
Seguendo queste best practice, è possibile ridurre il rischio di infezioni da malware e phishing di credenziali tramite documenti Office.
Fonte: https://securityboulevard.com/2024/05/threats-that-hide-in-your-microsoft-office-documents/
