Documenti Microsoft 365 e Office 2019 usati per eseguire codice dannoso: vulnerabilità ancora irrisolta

La scorsa settimana Microsoft ha confermato la presenza di una grave vulnerabilità di sicurezza che i criminali informatici stanno già utilizzando per fare breccia nelle reti aziendali. Nei forum specializzati sono già comparsi esempi di codice funzionante e guide pratiche per utilizzare gli exploit sin qui pubblicati.

Contraddistinta con l’identificativo CVE-2021-40444, la falla di sicurezza in questione è stata scoperta nel motore di rendering MSHTML di Internet Explorer ma nonostante il browser sia presente in Windows 10 soltanto “dietro le quinte” il suo legame con il sistema operativo Microsoft resta ancora molto stretto e sarà definitivamente rimosso soltanto con il lancio di Windows 11.

I tecnici di Microsoft si sono per il momento limitati ad affermare che il codice exploit in grado di fare leva sulla vulnerabilità CVE-2021-40444 utilizza controlli ActiveX dannosi per scaricare ed eseguire componenti software dannosi sui sistemi degli utenti.
Il codice malevolo viene inserito dai criminali informatici in documenti in formato Office che possono essere ad esempio aperti con Microsoft 365 oppure con Office 2019.

Per attivare l’infezione è necessario che l’utente faccia clic sul pulsante Abilita modifica perché i documenti, provenendo dalla rete Internet, sono dotati di uno speciale flag utilizzato per informare l’utente circa la potenziale loro pericolosità. Ma c’è un’importante eccezione per apre letteralmente una vera e propria voragine in termini di sicurezza.

Gli aggressori possono superare le difese del meccanismo Visualizzazione protetta di Office in modo molto semplice: ne avevamo parlato anche nell’articolo in cui spieghiamo come inizia un’infezione a partire dai documenti Office.
Immaginate un documento malevolo che sfrutta la vulnerabilità CVE-2021-40444 che viene trasferito all’utente-vittima all’interno di un archivio compresso in formato 7-Zip.
Quando l’utente apre il file 7-Zip e fa doppio clic sul documento Office malevolo presente all’interno di esso Visualizzazione protetta non entrerà in funzione e il codice dannoso verrà eseguito.
La stessa cosa può avvenire con il formato ISO così come altri formati di file il cui contenuto si sottrae all’apposizione del flag che contraddistingue i contenuti provenienti da sistemi di terze parti.

Il ricercatore Will Dormann aggiunge che la disattivazione delle macro non offre in questo caso alcuna protezione e che quindi in molti frangenti il codice potrebbe essere automaticamente eseguito all’apertura del documento Office.

Il problema è che non esiste ancora una patch correttiva: Microsoft conta di rilasciarla nel più breve tempo possibile e a questo punto, salvo cambiamenti dell’ultim’ora, dovrebbe essere distribuita martedì 14 settembre nel corso del “patch day” mensile. Facendo riferimento a questa pagina su VirusTotal è possibile conoscere l’elenco dei motore di scansione antimalware che al momento stanno correttamente riconoscendo il codice exploit.
Fortunatamente anche Microsoft Defender, antimalware attivo di default in Windows, è capace di riconoscere la minaccia.

Nel report di Trend Micro vengono descritte tutte le operazioni eseguite quando si fa doppio clic su un documento Office malevolo contenente un ActiveX altrettanto dannoso, gestito appunto con Internet Explorer.
Da tenere d’occhio anche il blog di 0patch perché è assai probabile che Acros Security rilasci a breve una patch correttiva non ufficiale applicabile con un intervento “in-memory“.

Come difendersi dai tentativi di attacco

In attesa che Microsoft rilasci una patch correttiva, è possibile disattivare il supporto per i componenti ActiveX in Internet Explorer. Si tratta di una tecnologia ormai ampiamente superata che fu annunciata nel 1996 e che permetteva di estendere le funzionalità del browser usando elementi software aggiuntivi. Nel tempo gli ActiveX sono stati ampiamente abusati dagli sviluppatori di malware e oggi vengono utilizzati ancora soltanto da qualche vecchio dispositivo (soprattutto lato videosorveglianza) che ancora si appoggia a Internet Explorer.

Per evitare problemi il consiglio è quello di disattivare gli ActiveX usando il file di registro contenuto questo archivio compresso: basta fare doppio clic sul file .REG per configurare Internet Explorer. L’importante è ricordarsi subito dopo di riavviare il sistema.

Il codice malevolo può però andare in esecuzione anche soltanto accedendo all’anteprima di un documento dannoso con l’interfaccia di Windows (Esplora file).
Per scongiurare anche questa eventualità si può avviare l’Editor del registro di sistema (regedit.exe) ed esportare (menu File, Esporta) le seguenti quattro chiavi:

HKEY_CLASSES_ROOT.docx\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
HKEY_CLASSES_ROOT.doc\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
HKEY_CLASSES_ROOT.docm\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
HKEY_CLASSES_ROOT.rtf\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}

Come ultimo passo bisognerà cancellare ciascuna delle quattro chiavi. Si potrà ripristinarle, facendo doppio clic sui file .REG esportati, soltanto una volta che si sarà applicata la patch Microsoft non appena essa sarà resa disponibile.