Diversi ricercatori di sicurezza hanno scoperto una vulnerabilità zero-day in Microsoft Office che può essere sfruttata per installare malware sul computer. L’azienda di Redmond è stata informata nel mese di aprile, ma non ha ancora rilasciato il fix per la varie versioni della suite di produttività. Il consiglio è quello di evitare il download da fonti sconosciute o aprire allegati email e installare una soluzione di sicurezza che blocca eventuali intrusioni.
Follina: bug in Word senza patch
Un ricercatore ha scoperto su VirusTotal il documento Word “05-2022-0438.doc“, caricato dalla Bielorussia, che scarica un file HTML da un server e usa il protocollo ms-mstd per eseguire comandi PowerShell e installare il malware. MSDT (Microsoft Diagnostic Tool) è uno strumento di Windows che permette di individuare problemi hardware. Word esegue il codice anche se le macro sono disattivate. La vulnerabilità è stata chiamata Follina dal ricercatore Kevin Beaumont perché il numero 0438 nel nome del file corrisponde al prefisso telefonico del comune in provincia di Treviso.
All’apertura di Word viene mostrato l’avviso di sicurezza della Visualizzazione protetta, ma può essere facilmente bypassato cambiando il formato in RTF. Inoltre il codice infetto può essere eseguito anche senza aprire il documento. È infatti sufficiente l’anteprima in Esplora file (exploit zero-click).
Diversi ricercatori hanno confermato che il bug è presente in Office 2013, 2016, 2019 e 2021. La vulnerabilità potrebbe essere sfruttata per accedere alla rete locale e rubare le password hash di Windows. Il problema è stato segnalato ad aprile, ma Microsoft ha dichiarato che non si tratta di una vulnerabilità perché MSDT richiede una passkey.
Come si può vedere su VirusTotal, il malware viene rilevato da molte soluzioni di sicurezza, tra cui quelle di Bitdefender.
Aggiornamento (31/05/2022): Microsoft ha comunicato che la vulnerabilità è presente nel tool MSDT.
Ti potrebbe interessare
30 mag 2022