Nuovo attacco Zero-Day: colpisce gli utenti Windows con documenti di Microsoft Office

L'attacco influisce su Internet Explorer e viene utilizzato per dirottare i sistemi Windows

Pochi giorni fa, Microsoft ha avvertito di un attacco zero-day che influisce su Internet Explorer. Questo malware viene utilizzato per dirottare i sistemi Windows vulnerabili sfruttando i documenti di Office.

Tracciato come CVE-2021-40444 (punteggio CVSS: 8.8), il difetto di esecuzione del codice remoto è radicato in MSHTML (noto anche come Trident), un motore browser proprietario per Internet Explorer ora fuori produzione e che viene utilizzato in Office per eseguire il rendering di contenuti Web all’interno di documenti Word, Excel e PowerPoint.

Ecco cosa afferma l’azienda: “Microsoft sta indagando sulle segnalazioni di una vulnerabilità legata all’esecuzione di codice in modalità remota in MSHTML che interessa Microsoft Windows. Siamo a conoscenza di attacchi mirati che tentano di sfruttare questa vulnerabilità utilizzando documenti Microsoft Office appositamente predisposti”.

“Un utente malintenzionato potrebbe creare un controllo ActiveX dannoso da utilizzare da un documento di Microsoft Office che ospita il motore di rendering del browser. L’hacker dovrebbe quindi convincere l’utente ad aprire il documento dannoso. Gli utenti i cui account sono configurati per avere meno diritti sul sistema potrebbero essere meno colpiti rispetto agli utenti che operano con diritti utente amministrativi”, ha aggiunto.

Il produttore di Windows ha accreditato i ricercatori di EXPMON e Mandiant per aver segnalato il difetto, anche se la società non ha rivelato ulteriori dettagli sulla natura degli attacchi e l’identità degli avversari che sfruttano questo zero-day o i loro obiettivi.

EXPMON, in un tweet, ha osservato di aver trovato la vulnerabilità dopo aver rilevato un “attacco zero-day altamente sofisticato” rivolto agli utenti di Microsoft Office, aggiungendo di aver trasmesso i suoi risultati a Microsoft domenica 5 agosto. “L’exploit utilizza difetti logici, quindi lo sfruttamento è perfettamente affidabile (e pericoloso)”, hanno detto i ricercatori EXPMON.

Tuttavia, vale la pena sottolineare che l’attacco corrente può essere soppresso se Microsoft Office viene eseguito con configurazioni predefinite, in cui i documenti scaricati dal Web vengono aperti in Visualizzazione protetta o Application Guard per Office, progettato per impedire ai file non attendibili di accedere a risorse nel sistema compromesso.

Microsoft, al termine dell’indagine, dovrebbe rilasciare un aggiornamento di sicurezza come parte del ciclo di rilascio mensile del Patch Tuesday o rilasciare una patch fuori banda “a seconda delle esigenze del cliente”. Nel frattempo, l’azienda di Redmond sta esortando utenti e organizzazioni a disabilitare tutti i controlli ActiveX in Internet Explorer per mitigare qualsiasi potenziale attacco.

Le informazioni presenti in questo post sono prese dall’articolo “New 0-Day Attack Targeting Windows Users With Microsoft Office Documents”