![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2019\/04\/11122154\/office_platforms_diagram.png\")
<\/p>\nNon tutti gli interventi della conferenza SAS 2019 sono dedicati ad attacchi APT sofisticati, alcuni si concentrano sul duro lavoro quotidiano dei nostri ricercatori antimalware. I nostri esperti Boris Larin, Vlad Stolyarov e Alexander Liskin hanno preparato una ricerca dal titolo \u201c\u201dCatching multilayered zero-day attacks on MS Office\u201d (Individuare gli attacchi zero-day multilivello su MS Office). In questo lavoro, i ricercatori si sono concentrati sugli strumenti che aiutano a effettuare un\u2019analisi malware e, allo stesso tempo, focalizzano la loro attenzione sul panorama attuale delle minacce che interessano Microsoft Office.<\/p>\n
In soli due anni, il panorama delle minacce \u00e8 cambiato considerevolmente; i nostri esperti hanno confrontato la distribuzione degli utenti attaccati sulle piattaforme colpite, nel periodo che va da due anni fa alla fine di quest\u2019anno. E hanno scoperto che i cybercriminali hanno abbandonato le vulnerabilit\u00e0 web per dedicarsi a quelle presenti su MS Office. Tuttavia, ci\u00f2 che sorprende \u00e8 la portata di questa inversione di tendenza: negli ultimi mesi, MS Office \u00e8 diventata la piattaforma pi\u00f9 colpita, con oltre il 70% del volume totale degli attacchi.<\/p>\n
<\/p>\n
Dallo scorso anno sono iniziati ad affiorare numerosi exploit zero-day per MS Office. Si inizia di solito con una campagna mirata che alla fine diventa pubblica e passa a essere integrata in un documento dannoso. I tempi dell\u2019intero processo si sono ridotti considerevolmente. Ad esempio, nel caso dell\u2019exploit CVE-2017-11882, la prima vulnerabilit\u00e0 sull\u2019equation editor riscontrata dai nostri esperti, una massiccia campagna di spam \u00e8 iniziata lo stesso giorno della pubblicazione della proof of concept. E lo stesso fenomeno riguarda anche altre vulnerabilit\u00e0: nel momento in cui una vulnerabilit\u00e0 diventa di dominio pubblico, in questione di giorni appare il relativo exploit sul mercato nero. Gli stessi bug diventano sempre meno complessi e a volte i cybercriminali hanno bisogno solo di una descrizione dettagliata per creare un exploit perfettamente funzionante.<\/p>\n
Tutto ci\u00f2 viene confermato dalla classifica delle vulnerabilit\u00e0 pi\u00f9 sfruttate nel 2018: i cybercriminali preferiscono bug semplici e logici, per questo le vulnerabilit\u00e0 CVE-2017-11882 e CVE-2018-0802 dell\u2019equation editor sono i bug pi\u00f9 sfruttati su MS Office. Per farla breve, sono vulnerabilit\u00e0 \u201caffidabili\u201d che si trovano in tutte le versioni di Word rilasciate negli ultimi 17 anni e, soprattutto, non \u00e8 necessario avere delle capacit\u00e0 tecniche avanzate per creare un exploit che le riguardi. Ci\u00f2 \u00e8 dovuto al fatto che il codice binario dell\u2019equation editor non disponeva delle moderne protezioni e mitigazioni che ci aspetteremmo in un\u2019applicazione nel 2018.<\/p>\n
Un dettaglio interessante: nessuna delle vulnerabilit\u00e0 pi\u00f9 sfruttate si trova propriamente su MS Office, bens\u00ec in componenti relazionati.<\/p>\n\n
Com\u2019\u00e8 possibile che si verifichino ancora situazioni del genere?<\/p>\n
Va detto che la superficie d\u2019attacco di MS Office \u00e8 estesa, ci sono numerosi e complicati formati di file da tenere in considerazione, per non parlare dell\u2019integrazione con Windows e dell\u2019interoperabilit\u00e0. E, soprattutto, dal punto di vista della sicurezza, molte decisioni prese da Microsoft durante la creazione di Office che al giorno d\u2019oggi possono sembrare poco felici, in realt\u00e0 sono state pensate soprattutto in funzione della compatibilit\u00e0, che altrimenti sarebbe andata perduta.<\/p>\n
Solo nel 2018, abbiamo individuato diverse vulnerabilit\u00e0 zero-day sfruttate in the wild, tra cui la CVE-2018-8174 (la vulnerabilit\u00e0 che riguarda l\u2019esecuzione del codice remoto del motore di Windows VBScript)<\/a>. Questa vulnerabilit\u00e0 \u00e8 particolarmente interessante, in quanto l\u2019exploit \u00e8 stato trovato in un documento Word anche se l\u2019exploit riguarda Internet Explorer. Per maggiori dettagli, potete leggere il nostro post su Securelist<\/a>.<\/p>\n I prodotti di sicurezza per endpoint [KESB placeholder] di Kaspersky Lab dispongono di funzionalit\u00e0 euristiche particolarmente avanzate per l\u2019identificazione delle minacce diffuse mediante i documenti di MS Office. Ed \u00e8 solo uno dei primi livelli di identificazione. Il motore euristico \u00e8 a conoscenza di tutti i formati dei file e degli offuscamenti dei documenti, agendo da prima linea di difesa. Tuttavia, quando individuiamo un oggetto dannoso, non ci limitiamo solo a classificarlo come pericoloso; l\u2019oggetto in questione passa attraverso diversi livelli di sicurezza: la sandbox, ad esempio, \u00e8 una tecnologia che d\u00e0 ottimi risultati in questo senso.<\/p>\n Nel campo della sicurezza informatica, le sandbox vengono utilizzate per isolare un ambiente non sicuro da uno sicuro (o viceversa), per evitare che vengano sfruttata le vulnerabilit\u00e0 o per analizzare il codice dannoso. La nostra sandbox \u00e8 formata da un sistema di identificazione dei malware che attiva l\u2019oggetto sospetto in una macchina virtuale con un sistema operativo dotato di tutte le funzionalit\u00e0; qui, viene identificata l\u2019attivit\u00e0 sospetta dell\u2019oggetto analizzandone il suo comportamento. Abbiamo sviluppato questo sistema qualche anno fa per uso interno, per poi diventare parte integrante della nostra Kaspersky Anti-Targeted Attack Platform<\/a>.<\/p>\n Microsoft Office \u00e8 un obiettivo molto interessante per i cybercriminali e lo sar\u00e0 sempre. I cybercriminali mirano agli obiettivi pi\u00f9 facili come le funzionalit\u00e0 pi\u00f9 obsolete. Per proteggere la vostra azienda, vi consigliamo di avvalervi di soluzioni dall\u2019efficacia provata, che abbiano individuato un lungo elenco di CVE.<\/p>\n","protected":false},"excerpt":{"rendered":" Alla conferenza SAS 2019 si \u00e8 parlato del panorama delle minacce di Microsoft Office e delle tecnologie che aiutano a individuare i relativi exploit zero-day.<\/p>\n","protected":false},"author":2706,"featured_media":17174,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2956],"tags":[3116,925,3094,1363,3061,584],"class_list":{"0":"post-17173","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-office","10":"tag-sas","11":"tag-sas-2019","12":"tag-security-analyst-summit","13":"tag-thesas2019","14":"tag-vulnerabilita"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ms-office-vulnerabilities-sas-2019\/17173\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ms-office-vulnerabilities-sas-2019\/15601\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/13145\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/17521\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ms-office-vulnerabilities-sas-2019\/15670\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/14369\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ms-office-vulnerabilities-sas-2019\/18244\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ms-office-vulnerabilities-sas-2019\/22603\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ms-office-vulnerabilities-sas-2019\/5876\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/26415\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ms-office-vulnerabilities-sas-2019-2\/11601\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ms-office-vulnerabilities-sas-2019\/11676\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/ms-office-vulnerabilities-sas-2019\/10600\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ms-office-vulnerabilities-sas-2019\/19022\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ms-office-vulnerabilities-sas-2019\/23042\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ms-office-vulnerabilities-sas-2019\/18258\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ms-office-vulnerabilities-sas-2019\/22452\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ms-office-vulnerabilities-sas-2019\/22389\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/sas\/","name":"SAS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17173","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=17173"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17173\/revisions"}],"predecessor-version":[{"id":21104,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17173\/revisions\/21104"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/17174"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=17173"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=17173"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=17173"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Come individuiamo le vulnerabilit\u00e0<\/h3>\n