Nelle ultime settimane stiamo sempre più spesso leggendo notizie che riportano di attacchi che sfruttano la tecnologia DDE. Botnet che sfruttano l’attacco DDE. Ransomware che vengono distribuiti tramite l’attacco DDE.
Bene, fermiamoci un attimo e facciamo un po di chiarezza su questa tecnologia e su questa modalità di attacco.
DDE, acronimo di Dynamic Data Exchange (dall’inglese scambio dinamico dei dati), è un sistema di comunicazione interprocesso (IPC) introdotto per la prima volta nel 1987 con Windows 2.0.
Tale tecnologia e le sue funzionalità, sono state in gran parte soppiantate da OLE – Object Linking and Embedding. Tuttavia DDE è ancora utilizzato in alcuni ambiti per via della sua semplicità.
Come le macro, DDE è una funzionalità legittima di Microsoft Office e permette a due applicazioni in esecuzione di condividere un insieme di dati. Per esempio, si potrebbe creare un documento Word collegato ad un documento Excel in modo che i dati del primo si aggiornino automaticamente ogniqualvolta si apporta una modifica ai dati contenuti nel foglio di calcolo di Excel.
Eseguire un attacco DDE è davvero molto semplice. Basta inserire all’interno del testo di un documento Microsoft Word la stringa per richiamare la feature DDE, {DDEAUTO}, seguita dal comando che si vuole far eseguire, il tutto all’interno delle parentesi graffe.
No, non solo documenti office.
Questo attacco può anche essere condotto anche tramite Outlook, inviando in allegato ad un’email, un’altra email o un appuntamento, conosciuto come “calendar” in gergo aziendale.
Basta creare un contenuto formattato utilizzando il formato “Rich Text Format” (RTF) di Microsoft Outlook e inserire al suo interno il codice malevolo. L’ultimo passaggio sarà quello di allegare quanto appena creato ad una nuova email che abbia un titolo e un testo in grado di attirare l’attenzione della vittima e spingerlo ad aprirlo.
Si potrebbe usare la tecnologia DDE per:
All’apertura del file viene visualizzato un messaggio di avviso con il quale si informa l’utente che il file ha contenuti esterni e si chiede conferma per proseguire.
In caso di risposta affermativa, viene visualizzato un nuovo messaggio in cui si chiede se si vuole eseguire l’applicazione specificata. Questo può essere considerato come un avviso di sicurezza in quanto all’utente viene chiesto se si vuole davvero eseguire uno specifico comando/applicazione. Nell’esempio sotto riportato è “cmd.exe”.
Tuttavia occorre notare che, con una corretta modifica alla sintassi del codice malevolo, l’informazione relativa all’esecuzione del comando può essere nascosta o omessa.
Nel momento in cui viene visualizzato il messaggio che informa l’utente che il file ha contenuti esterni, facendo clic su “No” si arresta il tentativo di attacco.
Ci si può difendere meglio impostando la visualizzazione di tutti i messaggi in formato testo, indipendentemente dal formato in cui questi sono stati inviati. Tuttavia occorre sapere che tale modifica comporta la disattivazione di tutte le formattazioni, i colori e le immagini delle email in ingresso e di conseguenza la mancata visualizzazione di alcuni contenuti.
I cyber criminali stanno iniziando ad usare la tecnologia DDE perché è diversa dalle macro e perchè sono sempre alla ricerca nuovi modi per cogliere in inganno la vittima. Da anni stiamo assistendo ad attacchi basati sulle macro ma fortunatamente è possibile disabilitare tale tecnologia e quindi impedire che un contenuto malevolo venga eseguito automaticamente all’apertura del file.
Questa nuova modalità, seppure con diversi limiti dettati dall’interazione con l’utente, potrebbe condurre una persona poco esperta o poco attenta a pensare che sia un errore verificatosi durante l’apertura del file.
Nell’ultima settimana l’uso di questa modalità di attacco è cresciuta esponenzialmente grazie al fatto che non bisogna inviare in allegato all’email documenti di Microsoft Office o PDF, ma basta allegare un’altra email o un “calendar”.
A cura di: Giuseppe Brando
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…