La falla nella sicurezza di Microsoft al centro dell’hacking elettorale russo

L’hacking russo delle elezioni del 2016 è andato più in profondità dell’irruzione nel Comitato Nazionale Democratico e nella campagna di Clinton, i russi si sono anche fatti strada per ottenere informazioni sull’hardware e sul software relativi alle elezioni poco prima dell’inizio delle votazioni.

L’intercettazione ha pubblicato un documento top secret della National Security Agency che mostra esattamente come i russi hanno fatto il loro sporco lavoro nel prendere di mira hardware e software elettorali. Al centro dell’hacking c’è una gigantesca falla nella sicurezza di Microsoft che esiste da prima del 2000 e non è stata ancora chiusa. E probabilmente non lo farà mai.

Prima di arrivare alla falla della sicurezza, ecco un piccolo background su come funzionava lo schema russo, spiegato in dettaglio dal documento segreto della NSA. Presumibilmente, l’agenzia di intelligence militare russa, il GRU, ha lanciato una campagna di spearphishing contro una società statunitense che sviluppa sistemi elettorali statunitensi. (L’intercettazione osserva che la società era probabilmente “VR Systems, un fornitore con sede in Florida di servizi e apparecchiature per il voto elettronico i cui prodotti sono utilizzati in otto stati.”) Sono state inviate email false di Google Alert da [email protected] a sette dipendenti dell’azienda. Ai dipendenti è stato detto che dovevano accedere immediatamente a un sito Web di Google. Il sito era falso; quando almeno un dipendente ha effettuato l’accesso, le sue credenziali sono state rubate.

Usando quelle credenziali, il GRU ha violato la compagnia elettorale, trovata dalla NSA, e ha rubato i documenti per un secondo, molto più pericoloso attacco di spearphishing. In questo secondo attacco, lanciato il 31 ottobre o il 1 novembre 2016, e-mail di spearphishing sono state inviate a 122 indirizzi e-mail “associati a organizzazioni di governo locale nominate”, che probabilmente appartenevano a funzionari “coinvolti nella gestione dei sistemi di registrazione degli elettori. ” In altre parole, i russi hanno preso di mira le persone che mantengono le liste degli elettori.

È qui che entra in gioco la falla nella sicurezza di Microsoft. In allegato a quelle e-mail c’erano documenti Microsoft Word che le e-mail sostenevano fossero documentazione per la linea di prodotti del database degli elettori EViD di VR Systems. In realtà, tuttavia, si trattava di “documenti Microsoft Word sottoposti a trojan contenenti uno script Visual Basic dannoso che genera PowerShell e lo utilizza per eseguire una serie di comandi per recuperare e quindi eseguire un payload sconosciuto da un’infrastruttura dannosa. Il payload sconosciuto molto probabilmente ne installa un secondo carico utile che può quindi essere utilizzato per stabilire un accesso persistente per esaminare la vittima per elementi di interesse per gli attori delle minacce”.

In parole povere, il documento di Word ha aperto una porta sul retro nei computer delle vittime, consentendo ai russi di installare qualsiasi malware desiderassero e ottenere praticamente qualsiasi informazione a cui le vittime avevano accesso.

Non è chiaro quali informazioni elettorali siano state in grado di raccogliere i russi o come avrebbero potuto usarle. Ma utilizzando la falla nella sicurezza di Microsoft, sono stati potenzialmente in grado di avvicinarsi molto all’hardware e al software elettorale degli stati e forse anche alle liste elettorali.

Chi ha la memoria lunga potrebbe ricordare che Visual Basic ha svolto un ruolo chiave in due dei primi attacchi di virus a livello mondiale, Melissa nel 1999 e ILoveYou nel 2000. Nel 2002, Michael Zboray, che era allora Chief Technology Officer per il ricercatore di mercato Gartner Group ed è ora il CISO di Gartner, ha affermato che Visual Basic ha la “posizione di sicurezza sbagliata” e ha aggiunto: “Lo script di Visual Basic e le macro si stanno rivelando un disastro. Sta succedendo ancora e ancora. Dobbiamo allontanarci da questo contenuto attivo ostile che arriva attraverso documenti Word, fogli di calcolo Excel e il browser.”

E ora, 15 anni dopo, si stanno ancora rivelando un disastro. Visual Basic ha lasciato il posto a Visual Basic, Applications Edition, ma i buchi rimangono. La società di sicurezza Sophos ha avvertito in un blog nel 2015 che questo tipo di attacchi stava tornando. Questo hack russo mostra che sono tornati con una vendetta.

È improbabile che Microsoft abbandoni Visual Basic for Applications, perché troppe aziende fanno affidamento su di esso. Quindi le aziende devono diventare più intelligenti riguardo al suo utilizzo. Sophos consiglia di prendere in considerazione la possibilità di bloccare tutti i file di Office inviati tramite posta elettronica dall’esterno di un’azienda, se tali file contengono macro create con Visual Basic for Applications. Microsoft offre consigli nel suo post sulla sicurezza, “La nuova funzionalità di Office 2016 può bloccare le macro e aiutare a prevenire le infezioni”, comprese le istruzioni su come le aziende possono utilizzare Criteri di gruppo per bloccare l’esecuzione delle macro nei documenti Word, Excel e PowerPoint inviati tramite posta elettronica o scaricato da Internet.

Le aziende devono rendersi conto che Visual Basic for Applications e le sue macro sono una potente arma per hacker e autori di malware. Se può minacciare le elezioni americane, può certamente minacciare i documenti ei segreti più importanti delle imprese. Dato che Microsoft non chiuderà Visual Basic for Applications, le aziende devono assumere il controllo bloccando macro e script sui documenti in arrivo.

L’antipatia verso le donne espressa nella disputa su Gamergate riflette verità scomode su…