Il 7 settembre 2021 Microsoft ha confermato che in Windows 10 si è verificata una vulnerabilità di esecuzione di codice da remoto (RCE). La vulnerabilità, classificata come CVE-2021-40444 [1], può consentire ai criminali informatici di ottenere il controllo remoto di un sistema compromesso e creare attacchi zero-day in libertà.
Il difetto risiede in MSHTML, un motore di rendering del browser in Internet Explorer. Il motoreè utilizzato anche nei documenti di Microsoft Office. La CVE-2021-40444 è attualmente nota per essere utilizzata per fornire payload Cobalt Strike, un framework di emulazione delle minacce comunemente sfruttato.
Un ricercatore di EXPMON ha identificato questo zero-day per la prima volta in un tweet, dicendo: "Gli utenti di Office siano estremamente cauti con i file di Office". Hanno segnalato l'incidente a Microsoft domenica 5 settembre. Poco dopo, Microsoft ha rilasciato un avviso di sicurezza, suggerendo soluzioni di sicurezza mentre l'azienda indaga. Il 14 settembre Microsoft ha risolto la vulnerabilità [2].
Come gli attaccanti sfruttano CVE-2021-40444
I criminali informatici possono creare un controllo ActiveX dannoso all'interno di un documento Microsoft Office (.docx). Questo documento funge da host per il motore di rendering del browser MSTHML e per un OLEObject che indirizza a una pagina web costruita.
L'aggressore deve quindi ingannare l'obiettivo per aprire questo documento. All'apertura, il motore MSTHML utilizzerà il controllo ActiveX per eseguire un file HTML con script offuscati, seguito dal download di payload di malware o controlli di accesso remoto.
Microsoft ha osservato che gli utenti con diritti di amministratore sono più suscettibili a tali attacchi rispetto a quelli senza o con meno diritti di utente.
Attenuazione e soluzione
Microsoft consiglia di disabilitare tutte le installazioni di controlli ActiveX in Internet Explorer per mitigare gli attacchi in corso. Questo può essere fatto configurando i Criteri di gruppo aggiornando il registro di sistema o utilizzando l'Editor dei Criteri di gruppo locali.Dopo la disabilitazione, i nuovi controlli ActiveX non verranno installati e i controlli ActiveX precedenti continueranno a funzionare.
Come il Deep CDR può proteggere dagli attacchi Zero-Day
Il Content Disarm and Reconstruction (CDR) può contribuire a mitigare i rischi associati a questa vulnerabilità. Deep CDR presuppone che tutti i file siano dannosi, quindi sanifica e ricostruisce i componenti dei file per garantire la piena fruibilità con contenuti sicuri. La tecnologia è in grado di "disarmare" efficacemente tutte le minacce basate su file, le minacce complesse e sandbox-aware e le minacce dotate di tecnologie di elusione del malware, come il malware completamente non rilevabile o l'offuscamento.
In questo caso, la tecnologia Deep CDR rimuove dal file di documento tutti gli oggetti potenzialmente pericolosi, come OLEObject e ActiveX. Dopo la sanificazione, il documento non contiene più il link HTML dannoso.
Le minacce rilevate da MetaDefender Cloud sono state scansionate e i risultati supportano le azioni di sanificazione:
Dopo la sanificazione, i risultati mostrano che l'OLEObject è stato rimosso e il file può essere aperto in modo sicuro:
Informazioni su Deep CDR
La tecnologiaDeep CDR è leader di mercato con caratteristiche superiori come l'elaborazione di archivi multilivello, l'accuratezza della rigenerazione dei file e il supporto di oltre 100 tipi di file. La nostra tecnologia fornisce una visione approfondita di ciò che viene sanificato e del modo in cui i dati vengono sanificati, consentendovi di fare scelte informate e di definire le configurazioni per soddisfare i vostri casi d'uso. Il risultato? File sicuri con il 100% delle minacce eliminate in pochi millisecondi, per non interrompere il vostro flusso di lavoro.
Per saperne di più sul Deep CDR e su come OPSWAT può proteggere la vostra organizzazione, parlate con uno dei nostri esperti di cybersicurezza delle infrastrutture critiche.
Riferimenti
[1] "Vulnerabilità di Microsoft MSHTML Remote Code Execution". 2021. Microsoft Security Response Center. https://msrc.microsoft.com/upd...
[2] "Microsoft applica una patch a MSHTML sfruttato attivamente come RCE zero-day (CVE-2021-40444)". 14 settembre 2021. Help Net Security. https://www.helpnetsecurity.co...
