Attacchi 0-Day su Internet Explorer (Double Kill)

 

Proto: N040518

Con la presente Yoroi desidera informarLa riguardo al rilevamento dello sfruttamento di vulnerabilità 0-day all’interno del motore VBScript di Microsoft Internet Explorer in recenti campagne di attacco. La problematica è identificata con il codice CVE-2018-8174 e conosciuta con l’alias “Double Kill”.

La criticità è causata da lacune nella gestione della memoria all’interno del motore di esecuzione VBScript utilizzato da Internet Explorer attraverso le quali un attaccante, in grado di far caricare alla vittima una apposita pagina web, può eseguire codice arbitrario sull’host vittima ed installarvi malware e backdoor persistenti.

Il Produttore ha rilasciato un apposito bollettino di sicurezza all’interno del quale sono disponibili aggiornamenti di sicurezza per Windows 10, Windows 7, Windows 8.1, Windows Server 2008, Windows Server 2012 e Windows Server 2016.

Inoltre, nell’Aprile 2018 ricercatori di terze parti hanno individuato campagne di attacco legate al gruppo APT-C-06 (cyber espionage) dove la vulnerabilità è stata sfruttata per l’installazione di impianti malware all’interno di organizzazioni cinesi attive nel commercio internazionale. Nel dettaglio lo schema dell’attacco rilevato risulta il seguente:

  • invio di documenti RTF malevoli armati con oggetti OLE autolink (CVE-2017-0199);
  • all’apertura del documento RTF, una pagina html viene scaricata da un sito di distribuzione;
  • la pagina html viene automaticamente caricata dal motore di Internet Explorer, il quale mette il esecuzione gli script VB al suo interno;
  • viene sfruttata la vulnerabilità 0-day in oggetto (CVE-2018-8174) ed installato un impianto malware sull’host vittima.

La vulnerabilità può inoltre essere sfruttata con schemi di attacco di tipo “Watering Hole” in quanto è sufficiente la navigazione su un portale compromesso da parte di un client di rete,  pertanto Yoroi consiglia di pianificare l’applicazione degli aggiornamenti di sicurezza messi a disposizione dal Produttore all’interno del Vostro parco macchine Microsoft Windows.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index