Due ricercatori dei laboratori SensePost hanno individuato un attacco verso i prodotti Office tramite una funzionalità legittima del prodotto, senza l’ausilio di Macro.
La funzionalità legittima utilizzata è la DDE ovvero Dynamic Data Exchange la quale permette di caricare dati da un applicazione Office ad un altra; si tratta di una funzionalità presente fin dalle prime versioni di Office ed oggi è sostituita da OLE (Object Linking and Embedding) anche se comunque ancora presente ed utilizzabile.
Come funziona
Un attaccante potrebbe inserire delle istruzioni DDE all’interno di un documento Office per caricare risorse esterne come ad esempio lanciare comandi tramite il prompt (CMD) e poter quindi eseguire codice maligno.
Bisogna però dire che il DDE mostra degli alert, nello specifico due, che avvisano l’utente di quanto sta accadendo:
Secondo i ricercatori il secondo alert è possibile rimuoverlo e sembra che sia stato già usato in-the-wild, come riporta il ricercatore PwnDizzle. Microsoft è stata informata del problema, ma non verrà rilasciato alcun aggiornamento in quanto non si tratterebbe di una vera e propria vulnerabilità per il fatto che vengono mostrati degli alert all’utente.
Questo conferma il fatto di prestar molto attenzione quando riceviamo email da contatti conosciuti e sconosciuti e se vediamo alert come quello riportato nelle immagini sopra, neghiamone l’esecuzione.
Approfondimenti e fonte: Macro-less Code Exec in MSWord
Via: Bleepingcomputer.com
