Vulnerabilità zero-day in Microsoft Word

I ricercatori di FireEye hanno scoperto diversi attacchi che sfruttano una vulnerabilità zero-day presente in tutte le versioni di Word. L’azienda era in contatto con Microsoft da diverse settimane per concordare la pubblicazione dei dettagli tecnici in concomitanza al rilascio della patch, prevista per domani, ma FireEye ha comunicato la sua scoperta in anticipo dopo la divulgazione del problema da parte di un’altra software house (McAfee).

Il malware è stato individuato all’interno di documenti RTF con estensione .doc, allegati a messaggi di posta elettronica. Quando l’utente apre il file, Word invia una richiesta HTTP ad un server remoto, dal quale viene scaricato un file HTA che contiene un’applicazione HTML. Quest’ultima carica ed esegue uno script Visual Basic che installa il malware sul computer della vittima in background, sfruttando la vulnerabilità zero-day nel Windows Object Linking and Embedding (OLE). Lo script termina il processo winword.exe per nascondere il prompt generato dall’oggetto OLE2link.

L’exploit è piuttosto pericoloso, in quanto è in grado di eludere anche le misure di sicurezza implementate in Windows 10, considerato il sistema operativo più sicuro di Microsoft. Inoltre, l’esecuzione di codice arbitrario sul computer dell’utente non richiede l’attivazione delle macro, la funzionalità di Word sfruttata dalla maggioranza degli attacchi rilevati in passato.

Un simile exploit riguarda solitamente un numero ristretto di target, ma la diffusione potrebbe aumentare in seguito alla divulgazione delle informazioni sulla vulnerabilità. In attesa della patch prevista per domani, gli utenti devono prestare molta attenzione ai documenti ricevuti via email, anche da mittenti conosciuti. È inoltre fortemente consigliata l’attivazione della Visualizzazione protetta in Word.