Una nuova vulnerabilità zero-day di Microsoft Word potrebbe offrire agli hacker il controllo completo del tuo computer. Anche se non si apre un file infetto, la vulnerabilità potrebbe essere sfruttata.
Nonostante il fatto che stiamo ancora aspettando una soluzione, Microsoft lo ha già fatto fornito una soluzione a questa vulnerabilità, quindi se utilizzi regolarmente MS Office, dovresti verificarlo.
Attenzione alla nuova vulnerabilità di Microsoft Word
Vulnerabilità di Microsoft Word, soprannominata Follina da uno dei ricercatori che l’ha inizialmente studiata — Kevin Beaumont, che ha anche pubblicato un post lungo a riguardo — è stato finora attribuito allo strumento MSDT. È stato originariamente scoperto il 27 maggio tramite un tweet di nao_sec, anche se a quanto pare Microsoft lo ha appreso per la prima volta già ad aprile. Sebbene non sia stata ancora rilasciata alcuna correzione, la soluzione di Microsoft comporta la disattivazione del Microsoft Support Diagnostic Tool (MSDT), che è il modo in cui l’exploit ottiene l’accesso al computer che viene attaccato.
Interessante maldoc è stato presentato dalla Bielorussia. Utilizza il collegamento esterno di Word per caricare l’HTML e quindi utilizza il "ms-msdt" schema per eseguire il codice PowerShell.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) 27 maggio 2022
La vulnerabilità di Microsoft Word è un errore di esecuzione di codice in modalità remota in MS Word che interessa principalmente i file .rtf. La funzione Modelli di MS Word consente di caricare ed eseguire codice da fonti esterne, che Follina utilizza per accedere al computer e quindi esegue una serie di comandi che aprono MSDT. In circostanze normali, gli utenti Windows possono utilizzare Microsoft Diagnostic Tool per Windows (MSDT) per risolvere vari problemi senza problemi. Sfortunatamente, poiché questo strumento fornisce anche l’accesso remoto al tuo computer, aiuta l’exploit a prenderne il controllo.
L’exploit può funzionare anche se non si apre il file nel caso di file .rtf. Follina può essere avviato fintanto che lo visualizzi in Esplora file. Una volta che l’attaccante ha compromesso il tuo computer tramite MSDT, ha carta bianca per fare quello che vuole con esso. Potrebbero scaricare software dannoso, perdere dati sensibili e altro ancora.
Beaumont ha incluso in passato diversi esempi di Follina, incluso il modo in cui è già stato utilizzato e scoperto in vari file. L’estorsione finanziaria è solo una delle tante cose per cui viene utilizzato questo exploit. Certo, non lo vuoi sul tuo PC.
Cosa fare finché Microsoft non rilascerà una patch?
Ci sono alcune cose che puoi fare per evitare la vulnerabilità di Microsoft Word fino a quando l’azienda non rilascerà una patch per risolverla. La soluzione ufficiale, allo stato attuale delle cose, è la soluzione alternativa; non sappiamo per certo cos’altro verrà dopo.
Per iniziare, controlla se la tua versione di Office è una di quelle interessate dalla vulnerabilità di Microsoft Word. Finora il bug è stato scoperto in Office 2013, 2016, 2019, 2021, Office ProPlus e Office 365. Non si sa se le versioni precedenti di Microsoft Office siano protette; quindi, è importante prendere ulteriori precauzioni per salvaguardarsi.
Non è una pessima idea da evitare di utilizzare. doc, .docx e.rtf per il momento, se è possibile farlo. Prendi in considerazione la migrazione a servizi basati su cloud come Google Docs. Accetta e scarica solo file da fonti identificate al 100%, che è una buona regola generale in generale. A proposito, puoi scoprire tutto ciò che devi sapere su Microsoft Office 2021, visitando il nostro articolo.
Infine, segui le istruzioni di Microsoft sulla disabilitazione di MSDT. Dovrai aprire il prompt dei comandi ed eseguirlo come amministratore, quindi digitare alcune istruzioni. Se tutto va bene, dovresti essere al sicuro da Follina. Tuttavia, tieni presente che la cautela è sempre consigliata.
Di seguito condividiamo i passaggi necessari per disabilitare il protocollo URL MSDT, fornito da Microsoft:
La disabilitazione del protocollo URL MSDT impedisce l’avvio di strumenti di risoluzione dei problemi come collegamenti, inclusi i collegamenti in tutto il sistema operativo. È ancora possibile accedere agli strumenti di risoluzione dei problemi utilizzando il Ottieni l’applicazione di aiuto e nelle impostazioni di sistema come altri o ulteriori strumenti per la risoluzione dei problemi. Segui questi passaggi per disabilitare:
- Correre Prompt dei comandi come Amministratore.
- Per eseguire il backup della chiave di registro, eseguire il comando “reg export HKEY_CLASSES_ROOTms-msdt nome del file“
- Eseguire il comando “reg delete HKEY_CLASSES_ROOTms-msdt /f”.
Come annullare la soluzione alternativa
Correre Prompt dei comandi come Amministratore.
Per ripristinare la chiave di registro, eseguire il comando “reg import nome del file”
Microsoft non è l’unica vittima di attacchi informatici, ad esempio, gli hacker cercano di prendere di mira i funzionari europei per ottenere informazioni sui rifugiati ucraini e sui rifornimenti.