Nel solo mese di gennaio 2025, il NIST ha ricevuto ben 4.085 vulnerabilità, creando un inizio d'anno ad altissimo rischio, con un'escalation di minacce sfruttate attivamente. Tra queste, CVE-2025-21298 è una vulnerabilità RCE (esecuzione di codice in remoto) a zero clic in Microsoft Windows OLE con un punteggio CVSS di 9,8. Questa falla di sicurezza consente agli aggressori di accedere al sistema di sicurezza di Microsoft. Questa falla di sicurezza consente agli aggressori di compromettere i sistemi semplicemente inducendo gli utenti a visualizzare l'anteprima di un'e-mail RTF dannosa in Outlook, senza dover fare clic.
In questo blog, analizziamo le sfumature tecniche di questa vulnerabilità, esplorando come OPSWAT MetaDefender Core mitiga queste minacce zero-day e fornisce raccomandazioni utili per le aziende.
Comprendere la vulnerabilità
Sfruttare una tecnica di attacco Zero-Click
Un attacco zero-click sfrutta le vulnerabilità del software per lanciare un attacco senza alcuna interazione da parte dell'utente. Ciò significa che è possibile installare malware o eseguire altre azioni dannose sul dispositivo dell'utente senza che quest'ultimo clicchi su un link, apra un file o compia un'azione, il che lo rende particolarmente pericoloso e difficile da rilevare.
Flusso di attacco CVE-2025-21298
La vulnerabilità esiste all'interno del sistema OLE di Windows, in particolare nel file ole32.dll biblioteca UtOlePresStmToContentsStm funzione. Questa funzione gestisce la conversione dei dati all'interno delle strutture di archiviazione OLE, ma contiene un problema di corruzione della memoria che gli aggressori possono sfruttare per eseguire codice arbitrario.
L'aggressore invia via e-mail un documento RTF appositamente creato contenente oggetti OLE dannosi. Una volta raggiunto il sistema della vittima, il client di posta elettronica elabora l'allegato quando il destinatario apre o visualizza l'anteprima del messaggio in Microsoft Outlook. Il sistema OLE di Windows si impegna con gli oggetti incorporati, utilizzando il sistema vulnerabile UtOlePresStmToContentsStm per l'elaborazione OLE.
Durante questa fase, la funzione tenta di convertire i dati all'interno delle strutture di archiviazione OLE, causando la corruzione della memoria. Questa corruzione della memoria consente l'RCE, garantendo agli aggressori la possibilità di eseguire comandi arbitrari sul sistema compromesso con gli stessi privilegi dell'utente corrente.
Un exploit proof-of-concept per CVE-2025-21298 è già stato pubblicato su GitHub per riprodurre questo attacco.
Prevenzione delle vulnerabilità Zero-Day con OPSWAT MetaDefender Core
Le vulnerabilità zero-day rappresentano le minacce più impegnative per la sicurezza informatica moderna, poiché emergono inaspettatamente e possono essere sfruttate prima che i fornitori abbiano il tempo di rilasciare le patch. Queste falle critiche spesso consentono di compromettere immediatamente il sistema, dando ai difensori un tempo minimo per reagire. CVE-2025-21298 è una vulnerabilità zero-day particolarmente pericolosa.
OPSWAT MetaDefender Core is positioned at the forefront of advanced threat detection and prevention, offering a multi-layered approach to security that is particularly effective against zero-day attacks like CVE-2025-21298. It leverages Metascan™ Multiscanning, Deep CDR™ Technology and Adaptive Sandbox to detect and neutralize threats before they can reach critical systems.
Come prima linea di difesa, Metascan Multiscanning analizza l'allegato e-mail che contiene il file RTF dannoso. Cinque motori su 34 sono in grado di rilevare CVE-2025-21298.
Next, Deep CDR™ Technology proactively sanitizes files by removing potentially malicious elements while preserving the file's usability. To mitigate the risks associated with CVE-2025-21298, we first enable “Remove Embedded Object” for RTF under the Deep CDR™ Technology configuration pane.
Once enabled, Deep CDR™ Technology identifies this embedded object as a suspicious node and removes the RTF.
While Deep CDR™ Technology focuses on malicious object removal and file sanitization, Adaptive Sandbox provides an additional layer of protection by using emulation-based detonation to analyze malicious behaviors and IOCs (indicators of compromise).
Raccomandazioni per l'implementazione
- Deploy Deep CDR™ Technology at email gateways to sanitize all incoming files with embedded RTFs.
- Configurate Adaptive Sandbox per far esplodere in modo sicuro i file sospetti prima della consegna.
- Implementare un monitoraggio completo dei potenziali tentativi di sfruttamento.
Perché le aziende si affidano a OPSWAT per il Advanced Threat Detection e la prevenzione Advanced Threat Detection
Le organizzazioni di vari settori, tra cui quello finanziario, sanitario e delle infrastrutture critiche, si affidano a OPSWAT MetaDefender Core :
- Industry-Leading Zero-Day Protection: Advanced security measures like Deep CDR™ Technology and Adaptive Sandbox provide unparalleled defense against emerging threats.
- Supporto alla conformità normativa: Le soluzioni OPSWAT favoriscono la conformità agli standard di sicurezza come GDPR, HIPAA e NIST, garantendo politiche di sanificazione dei file rigorose.
- Integrazione perfetta con l'infrastruttura di sicurezza esistente: MetaDefender Core si integra con SIEM, firewall e piattaforme di protezione degli endpoint per un rilevamento e una prevenzione completi delle minacce.
- Scalabilità per ambienti aziendali: Progettato per gestire elevati volumi di dati, garantendo la sicurezza senza compromettere le prestazioni.
Pensieri conclusivi
CVE-2025-21298 represents a serious threat to organizations, but with proactive security measures, businesses can prevent catastrophic breaches. OPSWAT MetaDefender Core, with its Deep CDR™ Technology, Metascan Multiscanning, and Adaptive Sandbox capabilities, provides cutting-edge protection against zero-day exploits. By implementing multi-layered security strategies and leveraging OPSWAT’s advanced threat prevention technologies, organizations can effectively neutralize emerging cyberthreats and safeguard their critical assets.
Siete interessati a OPSWAT MetaDefender Core?
