Nonostante non ci siano ancora dettagli precisi, Microsoft sta avvisando gli utenti di Office di un bug denominato “CVE-2021-40444”. Annunciando una patch per la risoluzione diramata il 14 settembre scorso. Si tratta di una “vulnerabilità che permette l’esecuzione di codice remoto Microsoft MSHTML” e quindi un problema che apre le porte a qualsiasi operazione. Uno zero-day perfetto, invisibile e allettante per qualsiasi cybercriminale. MSHTML è il vecchio motore di rendering di Internet Explorer che è ancora presente nei sistemi Windows perché utilizzato dagli applicativi di Office.
Come funziona l’attacco?
- Si riceve un file di Office via email o lo si scarica direttamente da Internet;
- Il documento contiene un codice (ActiveX)
- Il codice ActiveX attiva Windows MSHTLM che permette di cedere il controllo aprendo una back door che i male intenzionati utilizzano per poter prendere il controllo della macchina ed installare qualsiasi malware senza problemi
Come evitarlo?
- Non aprire documenti sospetti: diffidare di documenti che si ricevono da sconosciuti ed evitare di scaricare da siti non verificati file di Office.
- Non modificare la visualizzazione protetta di Office: a tutti i documenti ricevuti tramite email o scaricati dal Web, per impostazione predefinita, viene impedita l’esecuzione di ogni tipologia di contenuti attivi.
- Non cliccare mai sulla barra di colore giallo che indica “Abilita modifica”.
- Applicare la visualizzazione protetta permanentemente
- Disabilitare i controlli ActiveX che usano il rendering Web MSHTLM: in questo modo viene impedito il funzionamento dei controlli ActiveX che sono presenti nei documenti.
- Disabilitare completamente l’ActiveX su Office
Per ultimo, ricordiamo che la presenza di un sistema completo di sicurezza informatica (endpoint, firewall, email, web), basato sulla rilevazione di comportamenti anomali (deep learning) è l’unico sistema in grado di bloccare gli zero-day e Sophos con i suoi prodotti sta dimostrando, anche in questo caso, di essere l’unico a garantire protezione sincronizzata al cento per cento.
