Una vulnerabilità non risolta nel motore MSHTML apre la porta ad attacchi rivolti agli utenti di Microsoft Office
Microsoft ha segnalato una vulnerabilità zero-day, indicata come CVE-2021-40444, il cui sfruttamento consente l’esecuzione remota di un codice dannoso sui computer delle vittime. Il problema è che i criminali informatici stanno già sfruttando questa vulnerabilità per attaccare gli utenti di Microsoft Office. Pertanto, Microsoft sta consigliando agli amministratori di rete Windows di impiegare un workaround temporaneo fino a quando non sarà rilasciata una patch.
CVE-2021-40444: tutti i dettagli
La vulnerabilità si trova nel motore di Internet Explorer, MSHTML. Anche se poche persone usano IE al giorno d’oggi (anche Microsoft raccomanda vivamente di passare al suo nuovo browser Edge), il vecchio browser rimane un componente dei sistemi operativi moderni, e alcuni programmi utilizzano il suo motore per gestire i contenuti web. In particolare, le applicazioni di Microsoft Office come Word e PowerPoint si affidano a esso.
Come stanno sfruttando gli hacker la vulnerabilità CVE-2021-40444?
Gli attacchi appaiono come controlli ActiveX dannosi incorporati in documenti Microsoft Office. I controlli permettono l’esecuzione di un codice arbitrario e i documenti molto probabilmente arrivano come allegati di messaggi e-mail. Come succede per qualsiasi documento allegato, gli hacker devono convincere le vittime ad aprire il file.
In teoria, Microsoft Office gestisce i documenti ricevuti su Internet in Visualizzazione Protetta o attraverso Application Guard for Office, ed entrambi possono prevenire un attacco che sfrutta la vulnerabilità CVE-2021-40444. Tuttavia, gli utenti possono fare click sul pulsante “Abilita modifica” senza pensarci, disattivando così i meccanismi di sicurezza di Microsoft.
Come proteggere la vostra azienda dalla vulnerabilità CVE-2021-40444
Microsoft ha promesso di indagare e, se necessario, rilasciare una patch ufficiale. Detto questo, non ci aspettiamo una patch prima del 14 settembre, il prossimo Patch Tuesday. In circostanze normali, l’azienda non annuncerebbe una vulnerabilità prima del rilascio di una soluzione, ma poiché i criminali informatici stanno già sfruttando la vulnerabilità CVE-2021-40444, Microsoft raccomanda di optare subito per un workaround temporaneo.
Il workaround consiste nel proibire l’installazione di nuovi controlli ActiveX, cosa che potete fare aggiungendo alcune chiavi al registro di sistema. Microsoft fornisce informazioni dettagliate sulla vulnerabilità, inclusa una sezione Workaround (in cui ci sono istruzioni su come disabilitare il workaround una volta che non ne avete più bisogno). Secondo Microsoft, il workaround non dovrebbe avere conseguenze sulle prestazioni dei controlli ActiveX già installati.
Da parte nostra, raccomandiamo quanto segue:
- Installate una soluzione di sicurezza a livello del gateway di posta aziendale o migliorate i meccanismi di sicurezza standard di Microsoft Office 365 per proteggere la posta aziendale dagli attacchi;
- Dotate tutti i computer dei dipendenti di soluzioni di sicurezza in grado di rilevare lo sfruttamento delle vulnerabilità;
- Rendete maggiormente consapevoli i dipendenti delle moderne minacce informatiche su base regolare, in particolare ricordando loro di non aprire mai documenti che provengono da fonti non attendibili, né tantomeno di attivare la modalità di modifica a meno che non sia assolutamente necessario.
Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.com