Vulnerabilità in tutte le versioni di Office permette l'esecuzione di codice malevolo

Un gruppo di esperti in materia di sicurezza informatica mette a nudo una pericolosa falla presente in tutte le versioni di Office e sfruttabile con qualunque release di Windows, anche le più recenti. Come mettersi al riparo.
Michele Nasi
Pubblicato il 15 nov 2017
Vulnerabilità in tutte le versioni di Office permette l'esecuzione di codice malevolo

Microsoft ha risolto quest’oggi, con il rilascio della patch di sicurezza del mese di novembre, una brutta vulnerabilità presente in tutte le versioni di Office, comprese le più recenti. Se sfruttata, essa può portare all’esecuzione di codice dannoso sul sistema dell’utente semplicemente aprendo un documento Office, senza la necessità di alcuna interazione.

Individuata dai ricercatori di Embedi, la falla risiede nel Microsoft Equation Editor, un componente a sé stante che consente di elaborare formule matematiche e inserirle nei documenti Office.

Ancor’oggi in Office viene utilizzato il vecchio file EQNEDT32.EXE, versione dell’Equation Editor che Microsoft ha compilato ben 17 anni fa, all’inizio di novembre 2000: il file è infatti presente anche in Office 2016 così come in Office 365.

Il vecchio editor di equazioni matematiche sfrutta librerie obsolete e non si appoggia ad alcuna funzionalità di sicurezza introdotta nelle più recenti versioni di Windows.


E se è vero che Microsoft ha inserito nel pacchetto Office un Equation Editor più aggiornato ed esente da qualunque problema di sicurezza conosciuto, la vecchia versione continua a essere distribuita per questioni di compatibilità (ovvero per consentire la corretta visualizzazione delle formule matematiche presenti nei documenti elaborati anni fa).

Come chiarito nell’analisi di Embedi che dettaglia l’attacco posto in essere, preparando ad esempio un documento Word contenente una serie di oggetti OLE “ad hoc”, è possibile provare un errore di buffer overflow che ha come conseguenza l’esecuzione di codice arbitrario. Di fatto, quindi, un aggressore può disporre il download e la successiva esecuzione di qualunque malware.

Il problema è davvero importante perché, come si vede nel video, interessa qualunque versione di Windows e di Office. Inoltre, si configura come uno dei modi migliori per aggredire le realtà aziendali con un attacco mirato e potenzialmente dirompente.

Il migliore suggerimento è quindi quello di installare prima possibile le patch per Office di novembre 2017 (il problema è risolto con l’installazione degli aggiornamenti KB2553204, KB3162047, KB4011276 e KB4011262) oppure disattivare manualmente l’esecuzione del vecchio Equation Editor aggiungendo quanto segue al registro di sistema (creare un file .REG con Notepad++ e farvi doppio clic):

reg add "HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

Per le versioni di Office a 32 bit sui sistemi Windows a 64 bit:

reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

Ti consigliamo anche

Lo strano caso di Windows che va in crash con un TV Hisense in rete locale
Windows

Lo strano caso di Windows che va in crash con un TV Hisense in rete locale
Microsoft Store, scaricare file eseguibili delle applicazioni
Windows

Microsoft Store, scaricare file eseguibili delle applicazioni
Windows 10 vuole convincervi a scegliere un account Microsoft
Windows

Windows 10 vuole convincervi a scegliere un account Microsoft
Microsoft Store, prestazioni migliorate per tutti: ecco come
Windows

Microsoft Store, prestazioni migliorate per tutti: ecco come
Link copiato negli appunti