I criminali informatici hanno trovato un nuovo difetto nei documenti di Microsoft Word (si apre in una nuova scheda) che consente loro di distribuire malware (si apre in una nuova scheda), affermano i ricercatori.
Scoperto dall'esperto di sicurezza informatica Kevin Beaumont e soprannominato "Follina", il buco sfrutta un'utilità di Windows chiamata msdt.exe, progettata per eseguire diversi pacchetti di risoluzione dei problemi su Windows.
Secondo il rapporto, quando la vittima scarica il file Word armato, non ha nemmeno bisogno di eseguirlo, basta visualizzarlo in anteprima in Esplora risorse per utilizzare lo strumento (tuttavia, deve essere un file RTF).
Abusando di questa utilità, gli aggressori possono dire all'endpoint di destinazione di chiamare un file HTML da un URL remoto. Gli aggressori hanno scelto i formati xmlcom, probabilmente cercando di nascondersi dietro il dominio openxmlformats.org dall'aspetto simile ma legittimo utilizzato nella maggior parte dei documenti di Word, suggeriscono i ricercatori.
riconoscere la minaccia
Il file HTML contiene un sacco di "spazzatura", che oscura il suo vero scopo: uno script che scarica ed esegue un payload.
Il rapporto non dice quasi nulla sull'effettivo carico utile, rendendo difficile individuare la fine del gioco dell'attore della minaccia. Dice che l'intera catena di eventi relativi ai campioni che sono stati resi pubblici non è ancora nota.
In seguito alla pubblicazione dei risultati, Microsoft ha riconosciuto la minaccia, affermando che esiste una vulnerabilità legata all'esecuzione di codice in modalità remota "quando MSDT viene richiamato utilizzando il protocollo URL da un'applicazione chiamante come Word".
“Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe eseguire codice arbitrario con i privilegi dell'applicazione chiamante. L'attaccante può quindi installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account all'interno del framework autorizzato dai diritti dell'utente.
Mentre alcuni programmi antivirus (si apre in una nuova scheda) come Sophos possono già rilevare questo attacco, Micorosft ha anche rilasciato un metodo di mitigazione, inclusa la disabilitazione del protocollo URL MSDT.
Sebbene ciò impedirà agli strumenti di risoluzione dei problemi di avviarsi come collegamenti, è comunque possibile accedervi tramite l'app Ottieni assistenza e nelle impostazioni di sistema. Per abilitare questa soluzione alternativa, gli amministratori devono effettuare le seguenti operazioni:
Esegui il prompt dei comandi come amministratore.
Per eseguire il backup della chiave di registro, eseguire il comando "reg export HKEY_CLASSES_ROOTms-msdt filename"
Eseguire il comando "reg delete HKEY_CLASSES_ROOTms-msdt /f".