Pascal Bornet (uno dei guru dell’Intelligent Automation e coautore del libro “Intelligent Automation – welcome to the world of Hyperautomation”) […]
È stata individuata dai ricercatori di SensePost una campagna malware che sfrutta il lecito meccanismo DDE (Dynamic Data Exchange) dei file Microsoft Office.
La funzionalità DDE, che permette l’aggiornamento di dati contenuti in un file da una sorgente esterna (locale o remota), è da sempre presente nei documenti della suite Office, ma non viene considerata una minaccia per la sicurezza dalla softwarehouse.
Grazie a questa funzionalità, è possibile inserire del codice in un file senza necessità di utilizzo delle Macro. Al tentativo di eseguire un’applicazione esterna tramite il suddetto codice, tuttavia, l’editor mostrerebbe un messaggio dove richiede la conferma di esecuzione: questa secondo Microsoft è la misura di sicurezza già presente, motivo per cui la funzionalità non viene ritenuta pericolosa per la sicurezza degli utenti (ciònonostante è dimostrato che tramite un’apposita sintassi è possibile evitare che Word mostri il prompt all’utente, di fatto eseguendo il codice malevolo senza che nessuno se ne accorga).
Ulteriori informazioni: http://punto-informatico.it/4406729/PI/News/microsoft-office-un-attacco-che-non-si-puo-fermare.aspx
Dimostrazione pratica dell’exploit: https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/