Vulnerabilità Zero-Day che Colpisce gli Utenti Windows con Documenti Microsoft Office

Microsoft martedì ha emesso un avviso di sicurezza identificando una vulnerabilità di esecuzione di codice remoto in MSHTML che colpisce Microsoft Windows utilizzando documenti Microsoft Office appositamente creati.

Tracciata come CVE-2021-40444 (punteggio CVSS: 8.8), questa vulnerabilità di esecuzione di codice remoto è incorporata in MSHTML (noto anche come Trident), un motore di browser proprietario per la versione di Microsoft Windows di Internet Explorer, e colpisce Windows Server 2008 fino al 2019 e Windows 8.1 fino al 10.

“Un attaccante potrebbe creare un controllo ActiveX malevolo da utilizzare in un documento Microsoft Office che ospita il motore di rendering del browser. L’attaccante dovrebbe quindi convincere l’utente ad aprire il documento malevolo,” ha dichiarato l’azienda nell’avviso di sicurezza.

“Gli utenti i cui account sono configurati per avere meno diritti utente sul sistema potrebbero essere meno colpiti rispetto agli utenti che operano con diritti utente amministrativi.”

Secondo l’azienda, sia il loro Microsoft Defender Antivirus che Microsoft Defender for Endpoint forniscono rilevamento e protezione per la vulnerabilità nota. Ha consigliato ai suoi clienti di mantenere aggiornati i loro prodotti antimalware e coloro che utilizzano aggiornamenti automatici non devono intraprendere ulteriori azioni.

I clienti aziendali che gestiscono aggiornamenti dovrebbero selezionare la build di rilevamento 1.349.22.0 o più recente e distribuirla nei loro ambienti. Gli avvisi di Microsoft Defender for Endpoint verranno visualizzati come: “Esecuzione di file Cpl sospetta”.

Microsoft ha dichiarato che al termine dell’indagine, prenderà le misure appropriate per aiutare a proteggere i propri clienti, che potrebbero includere la fornitura di un aggiornamento di sicurezza attraverso il nostro processo di rilascio mensile o la fornitura di un aggiornamento di sicurezza fuori ciclo, a seconda delle esigenze dei clienti.

Il gigante di Redmond ha accreditato Rick Cole del Microsoft Threat Intelligence Center (MSTIC), Dhanesh Kizhakkinan, Bryce Abdo e Genwei Jiang di Mandiant, e Haifei Li di EXPMON, per aver scoperto la vulnerabilità.

Andrew Thompson, un analista delle minacce di Mandiant, ha osservato che “rilevamenti robusti focalizzati sul comportamento post-sfruttamento sono una rete di sicurezza che ti consente di rilevare intrusioni che coinvolgono sfruttamenti zero-day.”

EXPMON ha dichiarato in un tweet di aver rilevato un “attacco zero-day altamente sofisticato” mirato agli utenti di Microsoft Office.

“Abbiamo riprodotto l’attacco sull’ultima versione di Office 2019/Office 365 su Windows 10 (ambiente utente tipico), per tutte le versioni interessate si prega di leggere l’Avviso di Sicurezza Microsoft. L’exploit utilizza difetti logici quindi lo sfruttamento è perfettamente affidabile (& pericoloso),” ha twittato l’azienda.

Nel frattempo, Microsoft non ha divulgato informazioni sulla natura degli attacchi, i loro obiettivi o gli attaccanti che sfruttano questa vulnerabilità zero-day al pubblico.

Per quanto riguarda le mitigazioni e le soluzioni alternative, Microsoft ha suggerito di disabilitare l’installazione di tutti i controlli ActiveX in Internet Explorer, il che può essere realizzato per tutti i siti aggiornando il registro.

“I controlli ActiveX precedentemente installati continueranno a funzionare, ma non espongono questa vulnerabilità,” ha affermato l’avviso.

“Se utilizzi l’Editor del Registro in modo errato, potresti causare seri problemi che potrebbero richiederti di reinstallare il sistema operativo. Microsoft non può garantire che tu possa risolvere i problemi che derivano dall’uso errato dell’Editor del Registro.”

Per disabilitare i controlli ActiveX su un sistema individuale:

2. Per disabilitare l’installazione dei controlli ActiveX in Internet Explorer in tutte le zone, incolla quanto segue in un file di testo e salvalo con l’estensione .reg:

| | Editor del Registro di Windows Versione 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“1001”=dword:00000003
“1004”=dword:00000003 | |

2. Fai doppio clic sul file .reg per applicarlo al tuo hive di Policy.

3. Riavvia il sistema per assicurarti che la nuova configurazione venga applicata.

Questa soluzione alternativa imposta URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) e URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) su DISABILITATO (3) per tutte le zone internet per processi a 64 bit e 32 bit.

I nuovi controlli ActiveX non verranno installati e i controlli ActiveX precedentemente installati continueranno a funzionare.