Il gruppo di ricercatori e hacker avanzati Fancy Bear, che è collegato al governo russo, è riuscito ad usare attivamente un exploit su una tecnica che offre agli aggressori la possibilità di infettare computer in cui vengono visionati o modificati documenti Microsoft Office. Per chi non lo conoscesse, Fancy Bear è uno dei due gruppi che l'anno scorso avrebbero scardinato le difese delle reti del Democratic National Committee prima delle elezioni presidenziali americane.

Secondo quanto rivelato da Trend Micro, Fancy Bear avrebbe inviato un documento Word che sfrutta la feature Dynamic Data Exchange, che consente ad un file di eseguire un codice salvato su un altro file permettendo quindi alle applicazioni di mandare aggiornamenti in presenza di nuovi dati. Il file manomesso dal gruppo, chiamato IsisAttackInNewYork.docx, si collega ad un server di controllo per scaricare un primo pezzo del malware Seduploader, installandolo sul computer.

L'uso di DDE come potenziale tecnica di infezione non è nuovo, tuttavia l'argomento si è riacceso nelle ultime settimane dopo un articolo pubblicato da SensePost, in cui si legge della possibilità di utilizzare la feature per installare malware sfruttando Word, senza che gli antivirus possano far nulla. In seguito al nuovo report di Trend Micro su Fancy Bear, tuttavia, Microsoft ha rilasciato una nota in cui spiega le modalità per riconoscere l'exploit e proteggersi.

Il modo più semplice è evitarlo sul nascere, ovvero leggendo con attenzione gli avvisi che vengono riprodotti su schermo all'apertura di un nuovo documento. Prima che DDE possa essere utilizzata, infatti, appaiono su schermo schermate simili alle seguenti: se vengono richiesti permessi non così scontati è probabile che consentano l'installazione del malware, compromettendo il sistema.

Nel report di Microsoft vengono riportate anche le modifiche al Registro di Windows da attuare per disabilitare l'aggiornamento automatico dei dati da un file all'altro. Questa particolare tipologia di tecnica è stata attivamente utilizzata anche di recente per diffondere il ransomware Locky, ed ha la peculiarità di non richiedere l'uso di macro per poter installare software malevoli sul PC. Si tratta di un vettore che diventerà probabilmente molto diffuso in futuro, ed è quindi un bene prepararsi ed informarsi sulle modalità che si hanno a disposizione per difendersi.