I ricercatori di sicurezza avvertono che una vulnerabilità zero-day nel software Microsoft Word sta venendo sfruttata in attacchi exploit attivi condotti da alcuni cybercriminali molto probabilmente cinesi e taiwanesi.
Il DeepSight Threat Analyst Team di Symantec ha innalzato il livello di rischio ThreatCon dopo aver confermato che la vulnerabilità priva di correzione sta venendo usata "contro obiettivi selezionati". Il codice exploit di attacco arriva nella forma di un classico documento Microsoft Word allegato ad un messaggio di posta elettronica. Tuttavia quando l'allegato viene eseguito dall'utente malcapitato la vulnerabilità viene sfruttata per rilasciare una backdoor (Ginwui.A) con funzionalità rootkit utili a nascondere il malware agli antivirus.
Il SANS ISC (Internet Storm Center) afferma in una "diary entry" di aver ricevuto segnalazioni dell'exploit da una azienda che ha subito l'attacco. Chris Carboni, un incident handler di ISC che sta monitorando il problema di sicurezza, commenta: "L'e-mail era scritta in modo da sembrare un messaggio proveniente dalla rete interna, inclusa la firma. Era indirizzata al nome del destinatario vittima e non è stata intercettata dal software anti-virus". Quando l'allegato .doc viene aperto, esegue l'exploit di una vulnerabilità precedentemente sconosciuta in Microsoft Word ed è in grado di infettare un sistema Windows "fully patched". L'exploit agisce da dropper, estraendo e lanciando un Trojan che immediatamente sovrascrive il documento Word originale con una copia "pulita" non infetta. ISC spiega: "Come risultato dell'exploit, Word va in crash e propone di riaprire il documento. Se l'utente accetta, viene aperto il nuovo file 'pulito' senza problemi".
Continua qui
Il DeepSight Threat Analyst Team di Symantec ha innalzato il livello di rischio ThreatCon dopo aver confermato che la vulnerabilità priva di correzione sta venendo usata "contro obiettivi selezionati". Il codice exploit di attacco arriva nella forma di un classico documento Microsoft Word allegato ad un messaggio di posta elettronica. Tuttavia quando l'allegato viene eseguito dall'utente malcapitato la vulnerabilità viene sfruttata per rilasciare una backdoor (Ginwui.A) con funzionalità rootkit utili a nascondere il malware agli antivirus.
Il SANS ISC (Internet Storm Center) afferma in una "diary entry" di aver ricevuto segnalazioni dell'exploit da una azienda che ha subito l'attacco. Chris Carboni, un incident handler di ISC che sta monitorando il problema di sicurezza, commenta: "L'e-mail era scritta in modo da sembrare un messaggio proveniente dalla rete interna, inclusa la firma. Era indirizzata al nome del destinatario vittima e non è stata intercettata dal software anti-virus". Quando l'allegato .doc viene aperto, esegue l'exploit di una vulnerabilità precedentemente sconosciuta in Microsoft Word ed è in grado di infettare un sistema Windows "fully patched". L'exploit agisce da dropper, estraendo e lanciando un Trojan che immediatamente sovrascrive il documento Word originale con una copia "pulita" non infetta. ISC spiega: "Come risultato dell'exploit, Word va in crash e propone di riaprire il documento. Se l'utente accetta, viene aperto il nuovo file 'pulito' senza problemi".
Continua qui