Microsoft Office ancora una volta sotto attacco…
… e questa volta il colpevole è un componente presente nella suite ben da 17 anni ed è caratterizzato da una potenziale falla critica (registrata nella lista dei bug Microsoft come CVE-2017-11882).
Di fatto non è richiesta alcuna interazione attiva da parte dell’utente, basta aprire un file malevolo che ne sfrutti il bug e viene attivato automaticamente il contenuto indesiderato all’apertura del file, senza alcun avviso o altra indicazione di quel che sta capitando dietro le quinte (che potrebbe essere qualsiasi cosa: cancellazione di file, sottrazione di dati riservati, installazione da remoto di altri componenti software dannosi e così via).
La vulnerabilità specifica è stata risolta da Microsoft nell’ultimissima tornata di aggiornamento per le versioni di Office ancora supportate, mentre quelle più vecchie possono potenzialmente essere a rischio.
Innocua retrocompatibilità?
Il colpevole in questo caso è un componente secondario (l’Editor di Equazioni della versione 2000) rimasto anche nelle installazioni successive per motivi di retrocompatibilità e permettere quindi l’apertura e modifica di file antecedenti la versione 2003 e successive (che vedono la presenza del modulo in questione “aggiornato”).
Questa “comodità” costa agli utenti della suite di Microsoft in termini di sicurezza – infatti, come riportato nell’articolo su SecurityInfo, il file EQNEDT32.EXE è un componente sviluppato con tecnologie e librerie obsolete, senza le attuali accortezze di sicurezza e protezione da exploit e usi fraudolenti che caratterizzano invece le versioni più recenti.
Oltretutto non è noto se tale software (o magari altri componenti ugualmente obsoleti o meno verificati di Office) possano avere altri potenziali exploit che possano essere un rischio per l’integrità del sistema, tanto che i ricercatori di Embedi raccomandano di disattivare tale componente, per ragioni di sicurezza a prescindere dalla patch Microsoft, andando a modificare le voci nel Registro di Sistema tramite la Riga di Comando (cmd.exe).
Per le versioni a 32 bit:
reg add “HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400
Per le versioni a 64 bit:
reg add “HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400
In aggiunta a questo, vale sempre la raccomandazione di utilizzare la Visualizzazione Protetta per tutti i file ricevuti tramite e-mail o scaricati dal web.