Microsoft avverte che la vulnerabilità zero-day di Office può portare a una perdita di dati

Microsoft ha divulgato una vulnerabilità zero-day ad alta gravità che colpisce diversi prodotti Office e 365 Enterprise, per la quale una patch è ancora in fase di sviluppo.

La vulnerabilità tracciata come CVE-2024-38200 è causata da una debolezza di divulgazione delle informazioni che gli hacker possono facilmente sfruttare per rubare dati privati e protetti da individui o organizzazioni, inclusi dati sullo stato del sistema e sull’ambiente o dati di configurazione, dati sullo stato della rete e dati di configurazione, o metadati di connessione.

La vulnerabilità zero-day (CVE-2024-38200) colpisce i seguenti prodotti:

• Microsoft Office 2016 (32-bit & 64-bit)

• Microsoft Office 2019 (32-bit & 64-bit)

• Microsoft Office LTSC 2021 (32-bit & 64-bit)

• Microsoft 365 Apps for Enterprise (32-bit & 64-bit)

Secondo la valutazione di sfruttabilità di Microsoft, la probabilità di sfruttare CVE-2024-38200 è “meno probabile”, ma MITRE ha suggerito che le possibilità di sfruttamento per questo tipo di debolezza sono elevate.

“In uno scenario di attacco basato sul web, un attaccante potrebbe ospitare un sito web (o sfruttare un sito web compromesso che accetta o ospita contenuti forniti dagli utenti) che contiene un file appositamente progettato per sfruttare la vulnerabilità,” spiega il comunicato di Microsoft.

“Tuttavia, un attaccante non avrebbe modo di costringere l’utente a visitare il sito web. Invece, un attaccante dovrebbe convincere l’utente a cliccare su un link, tipicamente tramite un incentivo in un’email o in un messaggio di Instant Messenger, e poi convincere l’utente ad aprire il file appositamente progettato.”

Attualmente, Microsoft sta sviluppando aggiornamenti di sicurezza per affrontare questa vulnerabilità zero-day, ma non ha ancora annunciato una data di rilascio.

Microsoft ha attribuito la scoperta di CVE-2024-38200 a Jim Rush, un consulente di sicurezza presso PrivSec Consulting, e Metin Yunus Kandemir, un membro del Synack Red Team.

Ulteriori informazioni su questa vulnerabilità saranno fornite da Rush nel suo prossimo intervento a Defcon intitolato “NTLM – L’ultimo viaggio”, ha detto Peter Jakowetz, Managing Director di PrivSec, a BleepingComputer.

“Ci sarà un approfondimento su diversi nuovi bug che abbiamo divulgato a Microsoft (incluso il bypass di una correzione a un CVE esistente), alcune tecniche interessanti e utili, combinando tecniche di più classi di bug che portano a scoperte inaspettate e alcuni bug assolutamente cotti. Scopriremo anche alcune impostazioni predefinite che semplicemente non dovrebbero esistere in librerie o applicazioni sensate, così come alcune lacune evidenti in alcuni dei controlli di sicurezza relativi a Microsoft NTLM,” spiega Rush.

Inoltre, Microsoft sta anche lavorando per affrontare difetti zero-day che potrebbero costringere software completamente aggiornati a tornare a una versione precedente con vulnerabilità note e sfruttabili.

All’inizio di questa settimana, l’azienda ha anche annunciato che sta lavorando per risolvere un bypass di Windows Smart App Control, SmartScreen che è stato sfruttato in natura dal 2018.