Microsoft ha pubblicato un bollettino di sicurezza relativo a una nuova vulnerabilità zero-day già attivamente sfruttata che colpisce Internet Explorer e consente di prendere il controllo dei sistemi Windows vulnerabili sfruttando documenti Office malevoli appositamente creati.
La vulnerabilità (tracciata come CVE-2021-40444 e con punteggio CVSS di 8.8 su 10.0) è di tipo RCE (Remote Code Execution) ed è stata identificata nel componente Microsoft MSHTML (nome in codice: Trident), il motore di rendering delle pagine Web utilizzato in Internet Explorer.
Il browser, come sappiamo, è stato ormai dismesso e Microsoft ha interrotto anche il supporto tecnico: la gravità della nuova vulnerabilità zero-day è data dal fatto che il motore di rendering Trident viene ancora adesso utilizzato anche nelle ultime versioni della suite Office per riprodurre eventuali contenuti Web all’interno di documenti Word, Excel e PowerPoint.
È importante sottolineare che il problema di sicurezza colpisce le seguenti versioni di Windows:
- Windows Server 2008 fino al 2019
- Windows 8.1 e successive fino a Windows 10
Nel bollettino di sicurezza, inoltre, Microsoft conferma che la vulnerabilità risulta essere al momento attivamente sfruttata in attacchi mirati: per questo motivo, sia la stessa Microsoft sia la CISA (Cybersecurity and Infrastructure Security Agency) esortano tutte le organizzazioni pubbliche e private ad adottare il prima possibile le necessarie misure di mitigazione.
Indice degli argomenti
I dettagli della vulnerabilità
La nuova vulnerabilità zero-day appena identificata permette a un attaccante di creare un controllo ActiveX dannoso che può essere utilizzato all’interno di un documento Microsoft Office in cui è in esecuzione il motore di rendering del browser.
L’attaccante, a quel punto, dovrebbe convincere l’utente ad aprire il documento malevolo per portare a termine con successo l’attacco. Nella malaugurata ipotesi in cui ciò dovesse accadere, verrebbe caricata una pagina Web remota controllata dall’attaccante.
Quindi, sfruttando il controllo ActiveX dannoso, verrebbe scaricato un malware o comunque un codice malevolo sul computer della vittima che consente di prenderne il controllo. In particolare, l’attaccante sarebbe a quel punto in grado di effettuare un’operazione di hijack (letteralmente: dirottamento) del sistema Windows.
Soluzioni di mitigazione
Tuttavia, un eventuale attacco può essere efficacemente contrastato se Microsoft Office viene eseguito con la configurazione predefinita che prevede l’apertura dei documenti scaricati dal Web in Modalità protetta (o Protected View) o se è attiva la funzione Application Guard per Office 365.
In particolare, la modalità Protected View consente di accedere a file, cartelle e documenti in sola lettura, disabilitando la maggior parte delle funzioni di editing; Application Guard, invece, consente di isolare i documenti non attendibili, negando loro l’accesso alle risorse aziendali, alla intranet o ad altri file archiviati sul sistema.
Inoltre, Microsoft ha già aggiornato i sistemi Defender Antivirus e Defender for Endpoint (build 1.349.22.0 e superiore) integrando la protezione contro i tentativi di sfruttare la vulnerabilità CVE-2021-40444. In questo caso, un eventuale tentativo di attacco verrebbe segnalato con l’avviso Suspicious Cpl File Execution.
È evidente, poi, che gli utenti che utilizzano account con bassi privilegi risultano essere meno esposti alla nuova vulnerabilità zero-day.
La soluzioni di sicurezza suggerita da Microsoft
Poiché non c’è ancora un aggiornamento di sicurezza per la nuova vulnerabilità zero-day, Microsoft ha fornito il seguente workaround che consente di disabilitare l’installazione di tutti i controlli ActiveX in Internet Explorer.
Si tratta, semplicemente, di aggiornare il registro di configurazione di Windows per fare in modo che tutti i controlli ActiveX vengano resi inattivi sui siti Web visitati dall’utente.
Per farlo, apriamo il Blocco Note di Windows e incolliamo le istruzioni di seguito riportate in un file di testo vuoto che salveremo con estensione .reg:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones]
“1001”=dword:00000003
“1004”=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones1]
“1001”=dword:00000003
“1004”=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones2]
“1001”=dword:00000003
“1004”=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones3]
“1001”=dword:00000003
“1004”=dword:00000003
Chiudiamo il file ed eseguiamolo con un doppio clic del mouse per applicare le modifiche al registro di configurazione.
Quindi, riavviamo il sistema per consentire al sistema operativo di caricare la nuova configurazione.
Nel momento in cui Microsoft rilascerà un aggiornamento di sicurezza ufficiale per questa vulnerabilità, occorrerà rimuovere questa correzione temporanea al registro di configurazione eliminando manualmente le chiavi appena create.
Ovviamente, teniamo presente che una errata modifica al registro di configurazione di Windows potrebbe rendere instabile il sistema operativo, per cui applichiamo il workaround appena descritto solo se sappiamo esattamente cosa stiamo facendo.