Scoperta una vulnerabilità zero-day in tutte le versioni di Microsoft Word.


In questi giorni alcuni ricercatori di FireEye hanno scoperto diversi attacchi che sfruttano una vulnerabilità zero-day presente in tutte le versioni di Microsoft Word: l'azienda era in contatto con Microsoft da diverse settimane per concordare la pubblicazione dei dettagli tecnici in concomitanza al rilascio della patch, (prevista per domani), ma a quanto pare i ricercatori di sicurezza hanno deciso di comunicare la loro scoperta in anticipo dopo la divulgazione del problema da parte di McAfee. In pratica gli esperti di sicurezza hanno individuato un malware all'interno di documenti RTF con estensione .doc, allegati a messaggi di posta elettronica: quando l'utente apre il file, Word invia una richiesta HTTP ad un server remoto, dal quale viene scaricato un file HTA, il quale contiene un'applicazione HTML. Quest'ultima a sua volta carica ed esegue uno script Visual Basic, che installa il malware sul computer della vittima in background, sfruttando, appunto, la vulnerabilità zero-day presente nell'Object Linking and Embedding, (noto anche con la sigla OLE), e che termina il processo winword.exe per nascondere il prompt generato dall'oggetto OLE2link. Ad ogni modo l'exploit appena descritto risulta essere piuttosto pericoloso, in quanto è in grado di eludere anche le misure di sicurezza implementate in Windows 10, ovvero quello che viene considerato il sistema operativo più sicuro di casa Microsoft. Inoltre l'esecuzione di codice arbitrario sul computer dell'utente non richiede l'attivazione delle macro, vale a dire la funzionalità di Word sfruttata dalla maggioranza degli attacchi rilevati in passato. Comunque sia solitamente un simile exploit riguarda un numero ristretto di target, ma la diffusione potrebbe aumentare in seguito alla divulgazione delle informazioni sulla vulnerabilità. Quindi in attesa della patch prevista per domani, gli utenti dovrebbero prestare molta attenzione ai documenti ricevuti via e-mail, anche da mittenti conosciuti; senza contare che sarebbe fortemente consigliata l'attivazione della visualizzazione protetta in Word.

Commenti