Microsoft office ha risolto due giorni fa una gravissima falla nella sicurezza di Microsoft Office: una vulnerabilità sfruttabile che consentirebbe ad un attaccante di eseguire codice dannoso senza nessuna interazione dell'utente. La vulnerabilità in questione, CVE-2017-11882, è stata risolta nell'update November 2017 Patch Tuesday.
La vulnerabilità si trova nel vecchio Equation Editor.
Individuata dal gruppo di ricerca Embedi, la vulnerabilità riguarda il Microsoft Equation Editor (EQNEDT32.EXE), uno degli eseguibili che vengono installati sul computer degli utenti con la suite di Office. Questo strumento, come indica il nome, consente agli utenti di integrare equazioni matematiche nei documenti Office in forma di oggetto OLE dinamico. Embedi ha scoperto che Microsoft usa ancora la versione di EQNEDT32.EXE compilata nel 2000: esegue cioè un codice molto molto vecchio che si basa su librerie decisamente datate e che è privo di ogni più recente funzione di sicurezza aggiunta ai sistemi operativi Windows.
Il buffer overflow di EQNEDT32.EXE consente l'esecuzione di codice da remoto
Uno sguardo più ravvicinato al file conferma i peggiori timori: la componente EQNEDT32.EXE genera il proprio processo al di fuori del processo principale di Office, così non utilizza nessuna delle funzioni di sicurezza aggiunte al sistema operativo o alla suite di Office.
Uno sguardo più ravvicinato al file conferma i peggiori timori: la componente EQNEDT32.EXE genera il proprio processo al di fuori del processo principale di Office, così non utilizza nessuna delle funzioni di sicurezza aggiunte al sistema operativo o alla suite di Office.
Embedi ha potuto verificare ben due vulnerabilità di corruzione della memoria (buffer overflow) nel file EQNEDT32.EXE:
"Inserendo molti oggetti OLE che sfruttano la vulnerabilità descritta, è possibile eseguire una sequenza di comandi arbitrari (ad esempio scaricare un file da Internet ed eseguirlo)" riferisce il team di Embedi. "Una dei sistemi più facili per eseguire codice arbitrario è lanciare un file eseguibile da un server WebDAV controllato dagli attaccanti" hanno aggiunto i ricercatori.
Questa vulnerabilità è presente in tutte le versioni di Windows/office recenti.
La catena di exploit individuata da Embedi funziona su tutte le versioni recenti di Office e su tutte le versioni di Windows rilasciate negli ultimi 17 anni. Oltre a ciò, funziona su tutti i tipi di architettura, sia 32 che 64-bit, non interrompe il ciclo di lavoro di Office e non richiede interazione da parte dell'utente.
Alleghiamo il video che i ricercatori di Embedi hanno prodotto su questo attacco contro 3 diverse versioni di Office e Windows (Office 2010 su Windows 7, Office 2013 su Windows 8.1, Office 2016 su Windows 10).
La conclusione dei ricercatori di Embedi è che "tutto ciò dimostra che EQNEDT32.EXE è una componente del tutto obsoleta che può contenere un numero tremendo di vulnerabilità e debolezze, tutte facilmente sfruttabili".
Come affrontare e risolvere il problema?
Gli utenti Windows possono, per prima cosa, applicare gli aggiornamenti più recenti ( KB2553204, KB3162047, KB4011276 e KB4011262). In secondo luogo, i documenti contenenti equazioni create col vecchio editor, dannosi o meno, mostreranno un popup che chiederà all'utente se vuole aprire o meno il file nella modalità di Visualizzazione Protetta (uno stato di office che impedisce l'esecuzione di ogni contenuto attivo contenuto nel documento). Finché non saranno installati gli aggiornamenti sopra indicati, l'unica soluzione è assicurarsi di aprire questi documenti in Visualizzazione Protetta.
Infine, gli utenti possono usare due chiavi di registro per disabilitare la registrazione della vecchia componente di editor delle equazioni nel registro di Windows. Le due chiavi di registro sotto impediranno a Windows di avviare il file EQNEDT32.EXE e indirettamente impediranno agli attaccanti di poterlo sfruttare.
reg add "HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
Per i pacchetti Microsoft Office 32-bit eseguiti su sistemi Windows a 64-bit, inserire la seguente chiave:
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
Nessun commento:
Posta un commento