Microsoft ha risolto quest’oggi, con il rilascio della patch di sicurezza del mese di novembre, una brutta vulnerabilità presente in tutte le versioni di Office, comprese le più recenti. Se sfruttata, essa può portare all’esecuzione di codice dannoso sul sistema dell’utente semplicemente aprendo un documento Office, senza la necessità di alcuna interazione.
Individuata dai ricercatori di Embedi, la falla risiede nel Microsoft Equation Editor, un componente a sé stante che consente di elaborare formule matematiche e inserirle nei documenti Office.
Ancor’oggi in Office viene utilizzato il vecchio file EQNEDT32.EXE
, versione dell’Equation Editor che Microsoft ha compilato ben 17 anni fa, all’inizio di novembre 2000: il file è infatti presente anche in Office 2016 così come in Office 365.
Il vecchio editor di equazioni matematiche sfrutta librerie obsolete e non si appoggia ad alcuna funzionalità di sicurezza introdotta nelle più recenti versioni di Windows.
E se è vero che Microsoft ha inserito nel pacchetto Office un Equation Editor più aggiornato ed esente da qualunque problema di sicurezza conosciuto, la vecchia versione continua a essere distribuita per questioni di compatibilità (ovvero per consentire la corretta visualizzazione delle formule matematiche presenti nei documenti elaborati anni fa).
Come chiarito nell’analisi di Embedi che dettaglia l’attacco posto in essere, preparando ad esempio un documento Word contenente una serie di oggetti OLE “ad hoc”, è possibile provare un errore di buffer overflow che ha come conseguenza l’esecuzione di codice arbitrario. Di fatto, quindi, un aggressore può disporre il download e la successiva esecuzione di qualunque malware.
Il problema è davvero importante perché, come si vede nel video, interessa qualunque versione di Windows e di Office. Inoltre, si configura come uno dei modi migliori per aggredire le realtà aziendali con un attacco mirato e potenzialmente dirompente.
Il migliore suggerimento è quindi quello di installare prima possibile le patch per Office di novembre 2017 (il problema è risolto con l’installazione degli aggiornamenti KB2553204, KB3162047, KB4011276 e KB4011262) oppure disattivare manualmente l’esecuzione del vecchio Equation Editor aggiungendo quanto segue al registro di sistema (creare un file .REG con Notepad++ e farvi doppio clic):
Per le versioni di Office a 32 bit sui sistemi Windows a 64 bit: