Nel solo mese di gennaio 2025, il NIST ha ricevuto ben 4.085 vulnerabilità, creando un inizio d'anno ad altissimo rischio, con un'escalation di minacce sfruttate attivamente. Tra queste, CVE-2025-21298 è una vulnerabilità RCE (esecuzione di codice in remoto) a zero clic in Microsoft Windows OLE con un punteggio CVSS di 9,8. Questa falla di sicurezza consente agli aggressori di accedere al sistema di sicurezza di Microsoft. Questa falla di sicurezza consente agli aggressori di compromettere i sistemi semplicemente inducendo gli utenti a visualizzare l'anteprima di un'e-mail RTF dannosa in Outlook, senza dover fare clic.
In questo blog, analizziamo le sfumature tecniche di questa vulnerabilità, esplorando come OPSWAT MetaDefender Core mitiga queste minacce zero-day e fornisce raccomandazioni utili per le aziende.
Comprendere la vulnerabilità
Sfruttare una tecnica di attacco Zero-Click
Un attacco zero-click sfrutta le vulnerabilità del software per lanciare un attacco senza alcuna interazione da parte dell'utente. Ciò significa che è possibile installare malware o eseguire altre azioni dannose sul dispositivo dell'utente senza che quest'ultimo clicchi su un link, apra un file o compia un'azione, il che lo rende particolarmente pericoloso e difficile da rilevare.
Flusso di attacco CVE-2025-21298
La vulnerabilità esiste all'interno del sistema OLE di Windows, in particolare nel file ole32.dll biblioteca UtOlePresStmToContentsStm funzione. Questa funzione gestisce la conversione dei dati all'interno delle strutture di archiviazione OLE, ma contiene un problema di corruzione della memoria che gli aggressori possono sfruttare per eseguire codice arbitrario.
L'aggressore invia via e-mail un documento RTF appositamente creato contenente oggetti OLE dannosi. Una volta raggiunto il sistema della vittima, il client di posta elettronica elabora l'allegato quando il destinatario apre o visualizza l'anteprima del messaggio in Microsoft Outlook. Il sistema OLE di Windows si impegna con gli oggetti incorporati, utilizzando il sistema vulnerabile UtOlePresStmToContentsStm per l'elaborazione OLE.
Durante questa fase, la funzione tenta di convertire i dati all'interno delle strutture di archiviazione OLE, causando la corruzione della memoria. Questa corruzione della memoria consente l'RCE, garantendo agli aggressori la possibilità di eseguire comandi arbitrari sul sistema compromesso con gli stessi privilegi dell'utente corrente.
Un exploit proof-of-concept per CVE-2025-21298 è già stato pubblicato su GitHub per riprodurre questo attacco.
Prevenzione delle vulnerabilità Zero-Day con OPSWAT MetaDefender Core
Le vulnerabilità zero-day rappresentano le minacce più impegnative per la sicurezza informatica moderna, poiché emergono inaspettatamente e possono essere sfruttate prima che i fornitori abbiano il tempo di rilasciare le patch. Queste falle critiche spesso consentono di compromettere immediatamente il sistema, dando ai difensori un tempo minimo per reagire. CVE-2025-21298 è una vulnerabilità zero-day particolarmente pericolosa.
OPSWAT MetaDefender Core all'avanguardia nel rilevamento e nella prevenzione delle minacce avanzate, offrendo un approccio multistrato alla sicurezza particolarmente efficace contro gli attacchi zero-day come CVE-2025-21298. Sfrutta la tecnologia Metascan™ Multiscanning, la tecnologia Deep CDR™ e Adaptive Sandbox per rilevare e neutralizzare le minacce prima che possano raggiungere i sistemi critici.
Come prima linea di difesa, Metascan Multiscanning analizza l'allegato e-mail che contiene il file RTF dannoso. Cinque motori su 34 sono in grado di rilevare CVE-2025-21298.
Inoltre, la tecnologia Deep CDR™ provvede alla sanificazione proattiva dei file, rimuovendo gli elementi potenzialmente dannosi senza comprometterne l'usabilità. Per mitigare i rischi associati alla vulnerabilità CVE-2025-21298, attiviamo innanzitutto l'opzione "Rimuovi oggetti incorporati" per i file RTF nel pannello di configurazione della tecnologia Deep CDR™.
Una volta attivata, la tecnologia Deep CDR™ identifica questo oggetto incorporato come nodo sospetto e rimuove l'RTF.
Mentre la tecnologia Deep CDR™ si concentra sulla rimozione degli oggetti dannosi e sulla sanificazione dei file, Adaptive Sandbox un ulteriore livello di protezione utilizzando la detonazione basata sull'emulazione per analizzare i comportamenti dannosi e gli IOC (indicatori di compromissione).
Raccomandazioni per l'implementazione
- Implementare la tecnologia Deep CDR™ sui gateway di posta elettronica per ripulire tutti i file in entrata contenenti documenti RTF incorporati.
- Configurate Adaptive Sandbox per far esplodere in modo sicuro i file sospetti prima della consegna.
- Implementare un monitoraggio completo dei potenziali tentativi di sfruttamento.
Perché le aziende si affidano a OPSWAT per il Advanced Threat Detection e la prevenzione Advanced Threat Detection
Le organizzazioni di vari settori, tra cui quello finanziario, sanitario e delle infrastrutture critiche, si affidano a OPSWAT MetaDefender Core :
- Protezione zero-day all'avanguardia: misure di sicurezza avanzate come la tecnologia Deep CDR™ e Adaptive Sandbox una difesa senza pari contro le minacce emergenti.
- Supporto alla conformità normativa: Le soluzioni OPSWAT favoriscono la conformità agli standard di sicurezza come GDPR, HIPAA e NIST, garantendo politiche di sanificazione dei file rigorose.
- Integrazione perfetta con l'infrastruttura di sicurezza esistente: MetaDefender Core si integra con SIEM, firewall e piattaforme di protezione degli endpoint per un rilevamento e una prevenzione completi delle minacce.
- Scalabilità per ambienti aziendali: Progettato per gestire elevati volumi di dati, garantendo la sicurezza senza compromettere le prestazioni.
Pensieri conclusivi
La vulnerabilità CVE-2025-21298 rappresenta una grave minaccia per le organizzazioni, ma grazie a misure di sicurezza proattive le aziende possono prevenire violazioni catastrofiche. OPSWAT MetaDefender Core, con la sua tecnologia Deep CDR™, Metascan Multiscanning eSandbox Adaptive Sandbox , offre una protezione all'avanguardia contro gli exploit zero-day. Implementando strategie di sicurezza a più livelli e sfruttando le tecnologie avanzate di prevenzione delle minacce OPSWAT, le organizzazioni possono neutralizzare efficacemente le minacce informatiche emergenti e salvaguardare le loro risorse critiche.
Siete interessati a OPSWAT MetaDefender Core?
