Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial
Aree
magazine
About

Hacker sfruttano eseguibili Microsoft Office per diffondere malware

3 file di Microsoft Office sono potenzialmente facile preda per i cybercriminali: ecco le scoperte inaspettate di un ricercatore di Pentera.
Hacker sfruttano eseguibili Microsoft Office per diffondere malware
3 file di Microsoft Office sono potenzialmente facile preda per i cybercriminali: ecco le scoperte inaspettate di un ricercatore di Pentera.
Marco Ponteprino
Pubblicato il 4 ago 2023
Link copiato negli appunti

Il ricercatore di sicurezza presso Pentera, Nir Chako, ha individuato alcuni file LOLBAS presenti in Microsoft Office che possono essere utilizzati per forzare il download di file da terze parti.

I LOLBAS sono file binari e script legittimi comunemente presenti in Windows. Questi però, per loro natura, tendono ad essere vulnerabili rispetto a potenziali abusi per azioni malevole da parte di hacker e figure simili.

LOLBAS è l'acronimo di Living-off-the-Land Binaries and Scripts e costituiscono uno dei principali punti deboli dell'ecosistema Microsoft. Gli esperti del settore stanno lavorando su una lista che include tutti questi file, catalogando anche librerie e script Windows che possono prestare il fianco ai cybercriminali.

Tra i tanti file individuati, Nir Chako ha individuato tre inclusi nella suite di Office, ovvero:

  • MsoHtmEd.exe
  • MSPub.exe
  • ProtocolHandler.exe.

Questi, come già accennato, si sono dimostrati facili da manipolare per gli hacker.

Non solo Microsoft Office: nella lista LOLBAS anche altre app

Il ricercatore di Pentera, però, non si è fermato qui. Grazie al suo instancabile lavoro, infatti, è riuscito ad individuare ben 11 file che possono rientrare nella lista LOLBAS.

Oltre a quelli già citati, non mancano dei nomi "eccellenti" come Outlook.exe e MSAccess.exe che, stando alle informazioni fornite da Nir Chako, sono potenzialmente vulnerabili a un tentativo di intrusione da parte di un cybercriminale.

Altri file potenzialmente vulnerabili sono stati individuati nella suite PyCharm, diffusa tra gli sviluppatori Python. In questo caso si parla del file WinProcessListHelper.exe che, secondo Chako, può offrire facilmente ai malintenzionati informazioni riguardo i processi in esecuzione sul sistema.

Come confermato a BleepingComputer dal ricercatore, anche il file mkpasswd.exe della stessa suite presenta potenziali falle. Qui infatti, operatori esperti possono ottenere un elenco di utenti e i loro relativi identificatori di sicurezza (SID).

Nir Chako ha cominciato il suo lavoro due settimane fa, portando a risultati più che apprezzabili. Il suo sforzo è notevole in quanto, per il solo pool di file binari di Microsoft, ha impiegato 5 ore di analisi. Con tutta probabilità, la lista LOLBAS si allungherà in maniera considerevole nelle prossime settimane.

Ti consigliamo anche

Deno 2: una valida alternativa a Node.js
JavaScript

Deno 2: una valida alternativa a Node.js
Visual Studio Code 1.94 passa ai moduli ECMAScript
Development

Visual Studio Code 1.94 passa ai moduli ECMAScript
Ruby on Rails 8 sceglie SQLite per il deployment
Ruby

Ruby on Rails 8 sceglie SQLite per il deployment
Microsoft: nuova API AI per C# e .NET 9 in RC
.NET

Microsoft: nuova API AI per C# e .NET 9 in RC