Word 2010 a rischio quando si aprono documenti RTF malevoli

Gli attacchi sono ancora piuttosto limitati ma i tecnici di Microsoft hanno comunque deciso di pubblicare un messaggio d’allerta vista la gravità del problema. È stata infatti appena scoperta una pericolosa falla di sicurezza in Word 2010 che permetterebbe ad un malintenzionato di eseguire codice nocivo sul sistema degli utenti semplicemente inducendoli all’apertura di un file malevolo in formato RTF (Rich Text Format).
L’esecuzione del codice dannoso può verificarsi sia aprendo il documento .RTF con Word 2010 sia visualizzandone l’anteprima con Outlook, nel caso in cui Word sia configurato come “visualizzatore” predefinito.

La vulnerabilità, già sfruttata da parte di un gruppo di criminali informatici per aggreddire specifici obiettivi aziendali, riguarda la scorretta gestione di alcuni elementi che compongono la struttura dei documenti in formato RTF e viene combinata con il superamento della funzionalità di protezione detta ASLR (Address Space Layout Randomization; vedere, a tal proposito, il nostro articolo Proteggersi dai nuovi malware e dagli attacchi con Anti-Exploit).

Secondo Microsoft, la protezione di Word 2010 con EMET (Enhanced Mitigation Experience Toolkit) sarebbe già sufficiente a scongiurare i pericoli d’attacco dal momento che l’aggressione risiede per larga parte sul “bypassing” di ASLR.
Come intervento più radicale, in attesa del rilascio di una patch risolutiva (al momento previsto per il prossimo 8 aprile), Microsoft suggerisce di disattivare temporaneamente il supporto dei file RTF da parte di Word 2010 utilizzando il “Fix it” appena pubblicato online.

In alternativa, per evitare di disabilitare completamente il supporto per i file RTF, è possibile accedere alle opzioni di Word 2010, cliccare su Centro protezione, su Impostazioni centro protezione, sulla voce Impostazioni tipi file (nella colonna di sinistra), quindi accertarsi che i File RTF siano sempre aperti in modalità protetta (casella Apri i file selezionati in visualizzazione protetta).

In Word 2013 (protezione ASLR migliorata) l’attacco non va a buon fine e si limita a provocare il crash dell’applicazione, senza che venga provocata l’esecuzione di alcun genere di codice.
Maggiori informazioni sono reperibili in questa pagina.