Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Nov 15, 2017 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0
La falla è di quelle che possono avere conseguenze devastanti e sfrutta un clamoroso bug (CVE-2017-11882) all’interno di Microsoft Office che permette di avviare l’esecuzione di codice all’apertura di un documento.
Come spiegano i ricercatori di Embedi, che hanno individuato il bug la scorsa estate segnalandolo a Microsoft, il problema riguarda un componente di Office chiamato Microsoft Equation Editor, che consente di inserire equazioni matematiche all’interno dei documenti sotto forma di oggetti OLE.
A occuparsene è un eseguibile, che Microsoft per la verità ha aggiornato in Office 2007. All’interno del programma, però, è ancora presente EQNEDT32.EXE, un eseguibile con la stessa funzione sviluppato nel 2000. Il motivo? Garantire la compatibilità con i documenti creati con vecchie versioni di Office.
Purtroppo il vecchio eseguibile sfrutta delle librerie obsolete e non utilizza nessuna delle funzioni di sicurezza introdotte da Microsoft nel suo sistema operativo. Risultato: un pirata informatico può usarlo per confezionare un documento Office che avvia l’esecuzione di codice senza alcuna interazione con l’utente.
Niente avvisi, richieste di conferme o attivazione dei comandi Macro. L’eventuale malware verrebbe avviato automaticamente al momento stesso dell’apertura del documento.
Nel video pubblicato da Embedi si vede come il bug consenta di avviare un eseguibile (in questo caso la calcolatrice di Windows) automaticamente. La falla è stata corretta da Microsoft nell’ultima tornata di aggiornamenti per Office rilasciata nella giornata di ieri.
Stando a quanto si legge nel report pubblicato da Embedi, però, la presenza di EQNEDT32.EXE rappresenta in ogni caso un rischio per la sicurezza del sistema e non è escluso che emergano altre vulnerabilità o tecniche per sfruttarne la fragilità.
Il consiglio dei ricercatori è quello di disabilitarlo attraverso il registro di sistema. Per farlo è sufficiente eseguire il seguente comando all’interno del Prompt:
reg add “HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400
Nel caso si utilizzi una versione di Office 32 bit su un sistema a 64 bit, il comando è invece questo:
reg add “HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400
I ricercatori consigliano inoltre di utilizzare sempre la Visualizzazione protetta per i file che provengono da Internet o da email.
In questo modo i file vengono aperti in una sandbox che limita il rischio di azioni dannose da parte dei file. La corretta configurazione delle impostazioni può essere verificata attraverso il Centro protezione accessibile attraverso le Opzioni di Office.
Apr 17, 2024 0
Apr 10, 2024 0
Feb 15, 2024 0
Feb 09, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...