Martedì scorso, in occasione della tradizionale tornata di aggiornamenti mensili, Microsoft ha rilasciato una patch (MS14-060) per una vulnerabilità relativa al gestore degli oggetti OLE. Purtroppo, come scoperto da diversi produttori di antivirus, la soluzione si è rivelata poco robusta. Nelle ultime ore sono stati segnalati nuovi attacchi contro target di Taiwan da parte di hacker cinesi.
Una settimana fa, un bug simile era stato sfruttato da un gruppo di cybercriminali russi (Sandworm Team) per colpire la NATO, il governo ucraino, agenzie governative dell’Unione Europea, organizzazioni accademiche degli Stati Uniti e aziende del settore energetico e di telecomunicazioni europee. La nuova vulnerabilità, per la quale Microsoft ha rilasciato solo un fix temporaneo, riguarda sempre gli oggetti OLE, ma ora l’exploit è più pericoloso e potrebbe causare danni maggiori del precedente.
Trend Micro spiega, infatti, che i file EXE e INF infetti sono già incorporati nell’oggetto OLE, per cui non è più necessario il loro download da un server remoto. Ciò significa che il malware non viene intercettato dal Network Intrusion Prevention System (NIPS). La tecnica utilizzata per diffondere l’infezione è la stessa. I cybercriminali cercano di convincere l’ignaro utente ad aprire un file PowerPoint allegato ad un messaggio di posta elettronica.
Symantec ha individuato almeno due malware (Trojan.Taidoor e Backdoor.Darkmoon) che possono raggiungere il computer della vittima attraverso le email. Il primo, in particolare, è già noto e attribuibile agli esperti cinesi di cyberspionaggio. La vulnerabilità è presente in tutte le versioni di Windows, tranne Windows Server 2003. È quindi consigliabile installare le patch più recenti e il Fix it distribuito da Microsoft, in attesa di una soluzione definitiva.