Vulnerabilità 0-day su Microsoft Office mette in pericolo utenti Word: fix in arrivo

Vulnerabilità 0-day su Microsoft Office mette in pericolo utenti Word: fix in arrivo

Una vulnerabilità su Microsoft Office metterebbe a rischio i computer nei quali viene lanciato un documento contraffatto ad-hoc. Il fix dovrebbe comunque arrivare a breve

di pubblicata il , alle 15:31 nel canale Sicurezza
MicrosoftWindowsOffice
 

Alcuni aggressori stanno sfruttando un exploit di una vulnerabilità scoperta su Microsoft Word. Secondo i ricercatori di sicurezza di McAfee infatti il bug permetterebbe di installare in maniera del tutto invisibile per l'utente diversi tipi di malware, anche su computer aggiornati con le ultime patch di sicurezza. A differenza degli exploit canonici che prendono di mira i documenti di Office, quello divulgato da McAfee non si basa sull'uso delle macro e quindi il software non avverte della possibilità di accogliere malware sul proprio sistema non appena aperto il file malevolo.

L'exploit viene eseguito quando sul sistema target si apre un documento Word contraffatto che implementa un'applicazione HTML malevola travestita da documento rich text. Il codice HTML integrato permette il download di uno script malevolo che viene in seguito lanciato sul sistema e che può compiere qualsiasi operazione in maniera nascosta, anche l'installazione di malware. L'exploit è stato diffuso dai ricercatori di McAfee lo scorso venerdì, che sottolineano come il codice sia capace di aggirare i controlli appositi basati sull'analisi degli elementi in memoria.

McAfee e FireEye, quest'ultima anche a conoscenza del bug, hanno atteso una risposta ufficiale da parte di Microsoft prima di divulgare la novità, aspettando contestualmente un'ufficializzazione sulle cause che consentirebbero l'esecuzione del malware tramite Office. Dopo un'indagine svolta in collaborazione con il colosso di Redmond si è scoperto che il problema è legato alla funzione Windows Object Linking and Embedding (chiamata in breve OLE), che consente ad un'applicazione di collegare e integrare un determinato contenuto su un altro documento. 

Windows OLE è una feature utilizzata nello specifico sui programmi della suite Office e su WordPad, il visualizzatore di documenti integrato su Windows, ed è stato nel corso degli anni la fonte di alcuni problemi di sicurezza simili a quelli discussi da McAfee e FireEye negli ultimi giorni. Tutte le più recenti versioni di Office sono vulnerabili a quest'ultimo exploit, fra cui l'ultima disponibile al pubblico, Office 2016, anche in esecuzione su Windows 10. Secondo i ricercatori la vulnerabilità è stata sfruttata già attivamente a partire dallo scorso mese di gennaio.

Microsoft è già scesa in campo sull'argomento e ha promesso un fix specifico che dovrebbe essere rilasciato nelle prossime ore all'interno del consueto Patch Tuesday di aprile.

 
6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
zappy11 Aprile 2017, 19:08 #1
se non ho capito male, si tratta di un doc con incorporato un html che scarica quel che vuole.

ma xchè mai il firewall dovrebbe essere configurato per far andare Word a spasso x il web?
Jack.Mauro11 Aprile 2017, 23:22 #2
Originariamente inviato da: zappy
ma xchè mai il firewall dovrebbe essere configurato per far andare Word a spasso x il web?


Credo che tu abbia centrato in pieno il problema. Un buon firewall dovrebbe essere interattivo, ovvero chiedere all'utente cosa fare e permettere di creare delle regole, possibilmente avanzate, non appena un programma tenta di utilizzare la rete o - ma qui si passa da firewall a apparmor - tenta di eseguire attività invasive sul sistema.

Io mi trovo benissimo su windows con Agnitum Outpost: il miglior firewall che abbia potuto utilizzare - nonostante non sia proprio leggerissimo.

Peccato che ha 2 difetti:
1 - l'utente medio non sa come creare regole avanzate (thunderbird va sulla 465 e la 993, ma non va sulla 80, tutto il resto chiedi)
2 - dopo aver rilasciato l'anno scorso una versione Win10 compatibile, hanno cessato l'attività.... ed ora non so cosa usare in futuro!

Qualcuno sa consigliarmi un software simile per windows, e magari uno per linux, che in modo interattivo consenta di creare regole avanzate (application, ip source, port source, ip destination, port destination, protocol, ecc)?
zappy12 Aprile 2017, 10:19 #3
Originariamente inviato da: Jack.Mauro
Credo che tu abbia centrato in pieno il problema. Un buon firewall dovrebbe essere interattivo, ovvero chiedere all'utente cosa fare e permettere di creare delle regole, possibilmente avanzate, ...

io uso il fw di win7. purtroppo NON è interattivo x cui bisogna sapere da soli cosa aprire.

btw, thunderbird se non gli apri la 80 non s'aggiorna
Jack.Mauro12 Aprile 2017, 16:05 #4
Originariamente inviato da: zappy
io uso il fw di win7. purtroppo NON è interattivo x cui bisogna sapere da soli cosa aprire.


Finché si tratta di browser od altri programmi è possibile configurare il firewall in anticipo, ma se parliamo di programmi più "complicati" non è possibile sapere a priori host o porte di destinazione.

Originariamente inviato da: zappy
btw, thunderbird se non gli apri la 80 non s'aggiorna


Ovviamente.... e non scarica neanche i plugin senza il mio permesso
zappy12 Aprile 2017, 17:09 #5
Originariamente inviato da: Jack.Mauro
...Ovviamente.... e non scarica neanche i plugin senza il mio permesso

quindi usa http? non dovrebbe usare https?
speyer13 Aprile 2017, 10:57 #6
Io uso Comodo. È possibile installare insieme al firewall anche un intrusuon prevention system.

Questi sistemi vanno bene per pc singoli (come a casa), in azienda di solito ci sono firewall hardware e tutto è gestito "centralmente", non si fanno richieste agli utenti.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^