Documenti Office pericolosi: come difendersi dall'esecuzione di codice arbitrario

Un gruppo di ricercatori che si occupano di sicurezza informatica ha acceso un faro su una pericolosa vulnerabilità relativa a Office 2013, 2016, 2019 e 2021: se sfruttata, essa può permettere l’esecuzione di codice arbitrario semplicemente aprendo un documento.

L’autore della scoperta stava analizzando la struttura di un documento Word malevolo inviato qualche giorno fa su VirusTotal: il file è stato originariamente inviato da un indirizzo IP pubblico appartenente a un provider con sede in Bielorussia.
Un’analisi approfondita sul contenuto del documento Word ha fatto emergere un particolare molto interessante: il file ospitava codice offuscato che permette di sfruttare un bug di sicurezza fino ad oggi sconosciuto.

Quanto emerso evidenzia ancora una volta come i criminali informatici siano costantemente al lavoro “dietro le quinte” per individuare e sfruttare nuove vulnerabilità che possono trasformarsi in strumenti efficaci per lanciare un attacco informatico mirato, ad esempio per sottrarre informazioni a soggetti di elevato profilo o comunque di alto valore.

Il problema in questione risiede nel Microsoft Diagnostic Tool (MSDT), uno strumento che viene utilizzato per raccogliere informazioni in caso di crash di un programma con la possibilità di inviarle a Microsoft.
Follina (così è stato chiamato il bug in questione dalla comunità degli esperti di sicurezza; nel frattempo gli è stato assegnato anche l’identificativo CVE-2022-30190) basa il suo funzionamento sull’utilizzo di un documento Word malevolo attraverso il quale viene disposta l’esecuzione di comandi PowerShell appoggiandosi proprio a MSDT.

Il nuovo zero-day apre le porte a un nuovo efficace vettore di attacco che sfrutta i programmi del pacchetto Microsoft Office, non richiede privilegi elevati, aggira il rilevamento di Microsoft Defender e non richiede l’abilitazione delle macro per eseguire codice binario o script.

Come spiega anche Kevin Beaumont, i documenti Office malevoli sfruttano una riga di comando che si occupa di eseguire MSDT, anche se le macro sono disattivate. Il codice da eseguire sul sistema della vittima viene scaricato da una pagina Web, una volta aperto il documento, quindi viene sfruttato l’URI MS-MSDT per eseguire il codice in locale tramite PowerShell.

Di norma il codice viene bloccato dalla Visualizzazione protetta di Office che però, come ricordavamo già a suo tempo, può in alcuni casi essere agilmente superata.
Come chiarisce Beaumont, nel caso in questione basta che il documento Word malevolo venga semplicemente rinominato con l’estensione .RTF perché il codice venga eseguito senza la comparsa del messaggio Visualizzazione protetta. Addirittura il codice arbitrario va in esecuzione senza aprire il documento Office, semplicemente visualizzazione l’anteprima da Esplora file.

Microsoft si è affrettata a verificare il problema confermandone l’esistenza e la gravità. L’azienda di Redmond ha quindi pubblicato una nota con le indicazioni per proteggere i sistemi con Office installato dalla vulnerabilità CVE-2022-30190 in attesa di una patch ufficiale.

La società guidata da Satya Nadella spiega che, innanzitutto, Microsoft Defender e le altre soluzioni per la sicurezza sono state aggiornate per rilevare e bloccare la minaccia (riconosciuta come Mesdetty).

Per secondo, in attesa della pubblicazione di un aggiornamento correttivo, Microsoft suggerisce di disabilitare temporaneamente l’URI MSDT.
Per procedere in tal senso basta digitare cmd nella casella di ricerca del sistema operativo, scegliere Esegui come amministratore per aprire il prompt dei comandi con i diritti amministrativi quindi digitare ciò che segue:

reg export HKCR\ms-msdt %userprofile%\MSDT.reg

reg delete HKCR\ms-msdt /f

Quando Microsoft avrà rilasciato una patch ufficiale per risolvere il problema, basterà fare doppio clic sul file %userprofile%\MSDT.reg (contenuto nella cartella del profilo utente) per ripristinare la configurazione predefinita di MSDT.

Dettagli tecnici sul funzionamento dell’attacco Follina sono disponibili nell’analisi elaborata da Huntress. Nell’esempio, come si vede, viene disposta l’esecuzione della calcolatrice di Windows a partire da un documento Word: un classico quando i ricercatori di sicurezza devono dimostrare come si comporta un attacco informatico.

Nel frattempo 0patch ha rilasciato i suoi aggiornamenti correttivi non ufficiali che lavorano in-memory e permettono di scongiurare qualunque rischio di attacco. Queste micropatch saranno gratuite anche per gli utenti non paganti almeno fino a quando Microsoft non distribuirà i suoi aggiornamenti.