Nelle scorse ore è emersa una nuova vulnerabilità che riguarda Office 2019 e Office 365. Microsoft è al corrente della situazione.
15 SETTEMBRE 2021 | Una settimana dopo la scoperta della falla, Microsoft ha provveduto a correggere la vulnerabilità CVE-2021-40444 con il rilascio delle patch di sicurezza di settembre.
Microsoft ha rilasciato aggiornamenti di sicurezza per risolvere questa vulnerabilità.
10 SETTEMBRE 2021 | A due giorni dalla scoperta, da nuovi report sembrerebbe che la vulnerabilità sia già il bersaglio di attacchi tramite documenti Word infetti e che la mitigazione rilasciata da Microsoft sia già aggirabile. Al momento non è chiaro quando Microsoft riuscirà a rilasciare una patch di sicurezza per correggere la falla.
Office sotto attacco
Una nuova vulnerabilità CVE-2021-40444 riguarda la suite di produttività Microsoft Office, più precisamente le versioni di Office 2019 e Office 365 su Windows 10. Nello specifico si tratta di una falla del motore di rendering del browser MSHTML utilizzato anche nei documenti, di cui entrambi gli applicativi fanno uso e che potrebbe essere sfruttata per l’esecuzione di codice in remoto. Microsoft ha pubblicato un avviso di sicurezza con i dettagli della falla e gli scenari del possibile sfruttamento dell’exploit da parte di utenti malintenzionati.
Microsoft sta esaminando le segnalazioni di una vulnerabilità legata all’esecuzione di codice in modalità remota in MSHTML che interessa Microsoft Windows. Microsoft è a conoscenza di attacchi mirati che tentano di sfruttare questa vulnerabilità utilizzando documenti di Microsoft Office appositamente predisposti.
Un utente malintenzionato potrebbe creare un controllo ActiveX dannoso da utilizzare da un documento di Microsoft Office che ospita il motore di rendering del browser. L’aggressore dovrebbe quindi convincere l’utente ad aprire il documento dannoso. Gli utenti i cui account sono configurati per avere meno diritti utente sul sistema potrebbero essere meno colpiti rispetto agli utenti che operano con diritti utente amministrativi.
Microsoft Defender Antivirus e Microsoft Defender for Endpoint forniscono entrambi rilevamento e protezione per la vulnerabilità nota. I clienti dovrebbero mantenere aggiornati i prodotti antimalware. I clienti che utilizzano gli aggiornamenti automatici non devono intraprendere ulteriori azioni. I clienti aziendali che gestiscono gli aggiornamenti devono selezionare la build di rilevamento 1.349.22.0 o successiva e distribuirla nei propri ambienti. Gli avvisi di Microsoft Defender per Endpoint verranno visualizzati come: “Esecuzione file Cpl sospetta”.
Al termine di questa indagine, Microsoft intraprenderà le azioni appropriate per proteggere i nostri clienti. Ciò può includere la fornitura di un aggiornamento di sicurezza tramite il nostro processo di rilascio mensile o la fornitura di un aggiornamento di sicurezza fuori ciclo, a seconda delle esigenze del cliente.
Microsoft tiene a precisare che, per impostazione predefinita, Microsoft Office apre i documenti da Internet in Visualizzazione protetta o Application Guard per Office, entrambi i quali impediscono l’attacco in corso. Al momento non è disponibile una patch di sicurezza, tuttavia sta investigando sul problema – ma è possibile mitigarli parzialmente tramite una procedura.
La disabilitazione dell’installazione di tutti i controlli ActiveX in Internet Explorer mitiga questo attacco. Questa operazione può essere eseguita per tutti i siti aggiornando il registro. I controlli ActiveX installati in precedenza continueranno a essere eseguiti, ma non esporranno questa vulnerabilità.
Avviso | L’utilizzo errato dell’editor del Registro di sistema può causare seri problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che sia possibile risolvere i problemi derivanti dall’utilizzo errato dell’editor del Registro di sistema. Usa l’editor del registro a tuo rischio.
Per disabilitare i controlli ActiveX su un singolo sistema:
- Per disabilitare l’installazione dei controlli ActiveX in Internet Explorer in tutte le zone, incolla quanto segue in un file di testo e salvalo con l’estensione del file .reg:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\Windows\CurrentVersion\ Internet Settings\Zones\0] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\Windows\CurrentVersion\ Internet Settings\Zones\1] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\Windows\CurrentVersion\ Internet Settings\Zones\2] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\Windows\CurrentVersion\ Internet Settings\Zones\3] "1001"=dword:00000003 "1004"=dword:00000003
- Fare doppio click sul file .reg per applicarlo all’hive di criteri.
- Riavviare il sistema per assicurarsi che venga applicata la nuova configurazione.
Impatto della soluzione alternativa
Questo imposta URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) e URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) su DISABLED (3) per tutte le zone Internet per i processi a 64 e 32 bit. I nuovi controlli ActiveX non verranno installati. I controlli ActiveX installati in precedenza continueranno a essere eseguiti.
Come annullare la soluzione?
Eliminare le chiavi di registro che sono state aggiunte nell’implementazione di questa soluzione alternativa.
Cosa ne pensate di questa vulnerabilità? Fatecelo sapere nei commenti.
Articolo di Windows Blog Italia
Fonte | BleepingComputer