Cerca nel blog

2022/06/02

Attenzione ai documenti Word, una falla di Windows consente di usarli per attacchi informatici

Ultimo aggiornamento: 2022/06/02 9:00.

Morto un malware se ne fa un altro, si potrebbe dire: si è appena concluso felicemente il problema di Flubot e già siamo alle prese con un nuovo aggressore informatico, che stavolta colpisce gli utenti di Microsoft Word e Windows tramite documenti Word infettanti.

Lo fa sfruttando una vulnerabilità, presente in tutte le versioni recenti di Office e di Windows, che sorprendentemente riesce ad agire anche se sono state disabilitate le macro, che sono un vettore abituale di attacco, e anche se il documento Word non viene aperto ma soltanto visualizzato da un’anteprima in Esplora file.

Una volta avviato l’attacco, l’aggressore può prendere il controllo sostanzialmente completo del computer della vittima, per esempio installando programmi o guardando, modificando o cancellando dati a suo piacimento. Un bel guaio, insomma.

Microsoft non ha ancora diffuso un aggiornamento di sicurezza che corregga il problema, e la falla viene già sfruttata attivamente dai criminali informatici, ma i principali antivirus riconoscono già i documenti Word infettanti e quindi proteggono abbastanza bene gli utenti.

La vulnerabilità è stata soprannominata Follina dal ricercatore di sicurezza Kevin Beaumont; un nome strano, visto che Follina è una località italiana in provincia di Treviso. Ma non c’è alcun intento di accusare i follinesi di essere artefici di attacchi informatici: Beaumont ha semplicemente visto che uno dei primi esemplari di documento Word infetto si chiamava 05-2022-0438.doc e il significato della prima parte del nome gli pareva ovvio (“maggio 2022”) ma non riusciva a spiegarsi lo 0438. Ha notato che 0438 era il prefisso telefonico di Follina, e così lo ha scelto come nome facilmente ricordabile per questa vulnerabilità, che altrimenti sarebbe identificata formalmente dall’assai meno memorabile sigla tecnica CVE-2022-30190. Gli informatici sono fatti così.

La vulnerabilità viene sfruttata almeno da aprile scorso, quando sono stati segnalati a Microsoft dei documenti Word, costruiti appositamente per utilizzarla, che fingevano di essere richieste di interviste dell’agenzia di notizie russa Sputnik. Ma ci sono anche altri esempi di attacco informatico che usano questa falla, per esempio ad opera di gruppi criminali cinesi e per rubare password

Una volta scoperta, insomma, questa vulnerabilità ha cominciato a circolare fra i malviventi informatici, che stanno usando i pretesti emotivi più disparati per incuriosire le vittime e indurle a scaricare e visualizzare il documento Word infettante. Uno dei primi casi di Follina, per esempio, si presentava come una denuncia di un’infedeltà di coppia, corredata da foto compromettenti e da una promessa di vendetta e ricatto: una tentazione morbosamente irresistibile per molti utenti. 

In attesa che Microsoft distribuisca un aggiornamento correttivo, sono state pubblicate delle istruzioni tecniche per disabilitare le funzioni di Windows che rendono possibile la falla. In sostanza si tratta di modificare una chiave del Registro di Windows che riguarda il servizio Microsoft Support Diagnostic Tool (MSDT), come descritto per esempio da Paul Ducklin di Sophos, cosa che però molti utenti non sono in grado di fare. Per cui se usate Windows vi conviene aggiornare il vostro antivirus, fare molta attenzione ai documenti Word inattesi, specialmente se hanno contenuti che possono stuzzicare la curiosità, e aspettare con impazienza l’aggiornamento di Microsoft. 

Per i più coraggiosi, le istruzioni per disabilitare temporaneamente la chiave del Registro sono queste:

  1. Eseguire il Prompt dei comandi come Amministratore.
  2. Fare una copia di backup della chiave, dando il comando reg export HKEY_CLASSES_ROOT\ms-msdt nome_file (dove nome_file è il nome del file nel quale salvate il backup)
  3. Eseguire il comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f.

 

Fonti aggiuntive: Huntress, Cisa.gov, Graham Cluley, Ars Technica, The Register, BleepingComputer.

Nessun commento: