Il 7 settembre 2021 Microsoft ha confermato che in Windows 10 si è verificata una vulnerabilità di esecuzione di codice da remoto (RCE). La vulnerabilità, classificata come CVE-2021-40444 [1], può consentire ai criminali informatici di ottenere il controllo remoto di un sistema compromesso e creare attacchi zero-day in libertà.
Il difetto risiede in MSHTML, un motore di rendering del browser in Internet Explorer. Il motoreè utilizzato anche nei documenti di Microsoft Office. La CVE-2021-40444 è attualmente nota per essere utilizzata per fornire payload Cobalt Strike, un framework di emulazione delle minacce comunemente sfruttato.
Un ricercatore di EXPMON ha identificato questo zero-day per la prima volta in un tweet, dicendo: "Gli utenti di Office siano estremamente cauti con i file di Office". Hanno segnalato l'incidente a Microsoft domenica 5 settembre. Poco dopo, Microsoft ha rilasciato un avviso di sicurezza, suggerendo soluzioni di sicurezza mentre l'azienda indaga. Il 14 settembre Microsoft ha risolto la vulnerabilità [2].
Come gli attaccanti sfruttano CVE-2021-40444
I criminali informatici possono creare un controllo ActiveX dannoso all'interno di un documento Microsoft Office (.docx). Questo documento funge da host per il motore di rendering del browser MSTHML e per un OLEObject che indirizza a una pagina web costruita.
L'aggressore deve quindi ingannare l'obiettivo per aprire questo documento. All'apertura, il motore MSTHML utilizzerà il controllo ActiveX per eseguire un file HTML con script offuscati, seguito dal download di payload di malware o controlli di accesso remoto.
Microsoft ha osservato che gli utenti con diritti di amministratore sono più suscettibili a tali attacchi rispetto a quelli senza o con meno diritti di utente.
Attenuazione e soluzione
Microsoft consiglia di disabilitare tutte le installazioni di controlli ActiveX in Internet Explorer per mitigare gli attacchi in corso. Questo può essere fatto configurando i Criteri di gruppo aggiornando il registro di sistema o utilizzando l'Editor dei Criteri di gruppo locali.Dopo la disabilitazione, i nuovi controlli ActiveX non verranno installati e i controlli ActiveX precedenti continueranno a funzionare.
In che modo la tecnologia Deep CDR™ può proteggere dagli attacchi zero-day
La tecnologia Content Disarm and Reconstruction (CDR) può contribuire a mitigare i rischi associati a questa vulnerabilità. La tecnologia Deep CDR™ parte dal presupposto che tutti i file siano dannosi, quindi li ripulisce e ne ricostruisce i componenti per garantire la piena fruibilità con contenuti sicuri. Questa tecnologia è in grado di "neutralizzare" efficacemente tutte le minacce basate su file, quelle complesse e in grado di eludere le sandbox, nonché quelle dotate di tecnologie di evasione del malware, come i malware completamente non rilevabili o l'offuscamento.
In questo caso, la tecnologia Deep CDR™ rimuove dal file del documento tutti gli oggetti potenzialmente pericolosi, come gli OLEObject e gli ActiveX. Una volta completata la sanificazione, il documento non contiene più il link HTML dannoso.
Le minacce rilevate da MetaDefender Cloud sono state scansionate e i risultati supportano le azioni di sanificazione:
Dopo la sanificazione, i risultati mostrano che l'OLEObject è stato rimosso e il file può essere aperto in modo sicuro:
Informazioni sulla tecnologia Deep CDR™
La tecnologia Deep CDR™ è leader di mercato grazie a caratteristiche avanzate quali l'elaborazione degli archivi su più livelli, l'accuratezza nella ricostruzione dei file e il supporto di oltre 100 tipi di file. La nostra tecnologia offre una visione approfondita di ciò che viene sottoposto a sanificazione e delle modalità con cui i dati vengono trattati, consentendovi di compiere scelte consapevoli e definire configurazioni adatte alle vostre esigenze specifiche. Il risultato? File sicuri con il 100% delle minacce eliminate in pochi millisecondi, senza alcuna interruzione del flusso di lavoro.
Per saperne di più sulla tecnologia Deep CDR™ e su come OPSWAT proteggere la tua organizzazione, contatta uno dei nostri esperti in sicurezza informatica delle infrastrutture critiche.
Riferimenti
[1] "Vulnerabilità di Microsoft MSHTML Remote Code Execution". 2021. Microsoft Security Response Center. https://msrc.microsoft.com/upd...
[2] "Microsoft applica una patch a MSHTML sfruttato attivamente come RCE zero-day (CVE-2021-40444)". 14 settembre 2021. Help Net Security. https://www.helpnetsecurity.co...
