FormBook ancora in circolazione grazie a una vecchia vulnerabilità Word

24 Aprile 2025 Salvatore Lombardo Analisi tecnica, Cybersecurity, Evidenza 0

Una campagna di phishing recentemente individuata da FortiGuard Labs (Fortinet) dimostra come vecchie vulnerabilità possano ancora rappresentare una seria minaccia. In questo caso, gli attaccanti stanno sfruttando la vulnerabilità CVE-2017-11882 di Microsoft Word per diffondere FormBook, un noto malware infostealer.

La vulnerabilità

CVE-2017-11882 è una falla nel modulo Equation Editor di Microsoft Word, un componente legacy vulnerabile all’esecuzione di codice remoto a causa dell’assenza di protezioni moderne come DEP e ASLR. La falla è stata patchata da Microsoft nel 2017, ma continua a essere sfruttata a causa della persistenza di sistemi non aggiornati, spesso presenti in contesti aziendali o industriali.

Il metodo di attacco

Gli attaccanti inviano via email documenti Word malevoli. Una volta aperti, questi file sfruttano CVE-2017-11882 per eseguire automaticamente codice dannoso, senza richiedere interazione dell’utente. Il payload iniziale decripta ed esegue un eseguibile di FormBook utilizzando la tecnica di process hollowing, una forma di evasione che consiste nel sostituire il codice di un processo legittimo con codice maligno.

FormBook

Una volta attivo sul sistema, FormBook si comporta come un classico infostealer, eseguendo le seguenti operazioni:Estrazione di credenziali dai browserIntercettazione di dati dagli appuntiCattura di schermate del desktopKeylogging (registrazione dei tasti premuti)Comunicazione con server C2 per invio dei dati sottratti.

Perché è ancora efficace

Nonostante la disponibilità della patch da anni, la vulnerabilità continua a essere efficace in ambienti dove gli aggiornamenti di sicurezza non vengono applicati regolarmente. Inoltre, FormBook è venduto come Malware-as-a-Service (MaaS), il che lo rende facilmente accessibile anche ad attori con competenze tecniche limitate.

Ecco alcune raccomandazioni di sicurezza:

  • Aggiornare tutti i sistemi Windows con le ultime patch di sicurezza
  • Disabilitare l’Equation Editor se non utilizzato
  • Adottare soluzioni EDR e antivirus aggiornati
  • Evitare di aprire allegati sospetti e rafforzare la formazione degli utenti
Su Salvatore Lombardo 391 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.