Microsoft ha rilasciato tre giorni fa un bollettino di sicurezza per segnalare la vulnerabilità zero-day in MSHTML, il vecchio motore di rendering di Internet Explorer, che può essere sfruttata per installare malware tramite controlli ActiveX nascosti nei documenti Office. Diversi ricercatori hanno verificato che la soluzione provvisoria suggerita dall’azienda di Redmond non è efficace.
Visualizzazione protetta che non protegge
Internet Explorer è stato abbandonato da Microsoft, ma il suo motore di rendering MSHTML (Trident) viene ancora utilizzato in Office. In attesa della patch, la soluzione provvisoria che riduce il rischio di infezione è aprire i documenti scaricati da Internet in Visualizzazione protetta (sola lettura). Ciò evita l’attivazione dei controlli ActiveX e quindi il download del malware (Trend Micro ha scoperto che la vulnerabilità è stata sfruttata per installare Cobalt Strike).
Diversi ricercatori di sicurezza hanno verificato che il workaround consigliato da Microsoft non è efficace. Innanzitutto molto utenti ignorano l’avviso e cliccano sul pulsante “Abilita modifica“. Will Dormann ha mostrato che la Visualizzazione protetta non funziona con i file RTF.
Inspired by @buffaloverflow, I tested out the RTF attack vector. And it works quite nicely.
WHERE IS YOUR PROTECTED MODE NOW? pic.twitter.com/qf021VYO2R— Will Dormann (@wdormann) September 9, 2021
Dormann ha inoltre spiegato che la soluzione provvisoria è inutile, se il documento infetto viene distribuito all’interno di un archivio 7zip o di un’immagine ISO. In entrambi i casi, Word non utilizza la Visualizzazione protetta.
Microsoft ha consigliato anche di disattivare l’installazione dei controlli ActiveX e l’anteprima dei documenti in Windows Explorer, ma per una soluzione definitiva è necessario attendere la distribuzione della patch.
Ti potrebbe interessare
10 set 2021