Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Falla critica in Office. Il malware si avvia in automatico!
Una vulnerabilità devastante che non richiede alcuna interazione da parte dell’utente. Appena si apre il documento, il malware colpisce.
La falla è di quelle che possono avere conseguenze devastanti e sfrutta un clamoroso bug (CVE-2017-11882) all’interno di Microsoft Office che permette di avviare l’esecuzione di codice all’apertura di un documento.
Come spiegano i ricercatori di Embedi, che hanno individuato il bug la scorsa estate segnalandolo a Microsoft, il problema riguarda un componente di Office chiamato Microsoft Equation Editor, che consente di inserire equazioni matematiche all’interno dei documenti sotto forma di oggetti OLE.
A occuparsene è un eseguibile, che Microsoft per la verità ha aggiornato in Office 2007. All’interno del programma, però, è ancora presente EQNEDT32.EXE, un eseguibile con la stessa funzione sviluppato nel 2000. Il motivo? Garantire la compatibilità con i documenti creati con vecchie versioni di Office.
Un file eseguibile realizzato nel 2000 si nasconde nel nostro modernissimo sistema operativo. Cosa potrà mai andare storto?
Purtroppo il vecchio eseguibile sfrutta delle librerie obsolete e non utilizza nessuna delle funzioni di sicurezza introdotte da Microsoft nel suo sistema operativo. Risultato: un pirata informatico può usarlo per confezionare un documento Office che avvia l’esecuzione di codice senza alcuna interazione con l’utente.
L’analisi del processo attraverso ProcessMitigation mostra chiaramente che EQNEDT32.EXE non adotta nessuno degli accorgimenti previsti per ridurre il rischio di abusi.
Niente avvisi, richieste di conferme o attivazione dei comandi Macro. L’eventuale malware verrebbe avviato automaticamente al momento stesso dell’apertura del documento.
Nel video pubblicato da Embedi si vede come il bug consenta di avviare un eseguibile (in questo caso la calcolatrice di Windows) automaticamente. La falla è stata corretta da Microsoft nell’ultima tornata di aggiornamenti per Office rilasciata nella giornata di ieri.
Stando a quanto si legge nel report pubblicato da Embedi, però, la presenza di EQNEDT32.EXE rappresenta in ogni caso un rischio per la sicurezza del sistema e non è escluso che emergano altre vulnerabilità o tecniche per sfruttarne la fragilità.
Il consiglio dei ricercatori è quello di disabilitarlo attraverso il registro di sistema. Per farlo è sufficiente eseguire il seguente comando all’interno del Prompt:
reg add “HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400
Nel caso si utilizzi una versione di Office 32 bit su un sistema a 64 bit, il comando è invece questo:
reg add “HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400
I ricercatori consigliano inoltre di utilizzare sempre la Visualizzazione protetta per i file che provengono da Internet o da email.
Le impostazioni predefinite di Office usano la Visualizzazione protetta per tutti i file provenienti da Internet e ricevuti come allegati email.
In questo modo i file vengono aperti in una sandbox che limita il rischio di azioni dannose da parte dei file. La corretta configurazione delle impostazioni può essere verificata attraverso il Centro protezione accessibile attraverso le Opzioni di Office.
Condividi l'articolo
JoltandBleed: Oracle Tuxedo ha una serie di falle critiche
Proteggersi dal furto di password: cominciamo dall'email
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
