Come gli hacker stanno sfruttando i documenti di Microsoft Word per hackerare Windows
Un bug scoperto di recente nel motore del browser MSHTML proprietario di Microsoft consente agli hacker di eseguire codice in modalità remota in tutte le versioni di Windows. Gli aggressori utilizzano documenti Word appositamente predisposti per sfruttare questo bug zero-day. Sfortunatamente, MSHTML è utilizzato anche da diversi prodotti Microsoft, inclusi Skype, Visual Studio e Microsoft Outlook, quindi il problema è piuttosto diffuso.
Pertanto, esploriamo come funziona l’exploit e come proteggerti da esso.
Come funziona l’Exploit Zero-Day di Microsoft Word?
L’attacco inizia quando gli utenti vengono indotti con l’inganno ad aprire un documento Word usato come arma. Questo documento conterrà un controllo ActiveX appositamente predisposto per la gestione da parte del motore MSHTML. Se caricato correttamente, gli hacker possono utilizzare questo controllo ActiveX per eseguire codice remoto sul dispositivo compromesso.
Microsoft sta monitorando questo bug come CVE-2021-40444 e gli ha assegnato un punteggio CVSS di 8,8. Rende il bug MSHTML un problema ad alto impatto con il potenziale di causare danni considerevoli.
Come mitigare l’attacco MSHTML
Gli utenti possono impedire l’attacco MSHTML non aprendo documenti Word non attendibili. Anche se fai clic accidentalmente su tali documenti, l’esecuzione di Office con le configurazioni predefinite probabilmente ti proteggerà da questo ultimo attacco zero-day relativo a Microsoft.
Per impostazione predefinita, Office apre i documenti scaricati da Internet in Visualizzazione protetta o Protezione applicazioni per Office. Questa funzione impedisce ai file non attendibili di accedere a risorse di sistema cruciali, quindi probabilmente sarai al sicuro.
Tuttavia, gli utenti che operano con privilegi di amministratore sono ad alto rischio dall’attacco MSHTML. Poiché al momento non è disponibile alcuna patch funzionante, ti consigliamo di aprire i documenti di Office solo come utente standard, dove la visualizzazione protetta può salvarti. Microsoft ha anche affermato che disabilitare il controllo ActiveX può prevenire questo attacco.
Come disabilitare il controllo ActiveX
Per disabilitare il controllo ActiveX, apri un editor di testo e crea un file denominato disable-activex.reg . Puoi chiamare questo file qualsiasi cosa purché l’estensione .reg sia presente. Ora incolla quanto segue nel file e salvalo.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones3]
"1001"=dword:00000003
"1004"=dword:00000003Fare doppio clic sul file e fare clic su Sì quando richiesto da Windows. Al termine, riavvia il PC e Windows applicherà le nuove configurazioni.
Attenzione ai documenti Word non attendibili
Microsoft deve ancora rilasciare patch ufficiali per l’exploit MSHTML. Quindi, non fare clic sui documenti scaricati da Internet è la soluzione migliore se vuoi rimanere al sicuro. Fortunatamente, Defender può rilevare e impedire che questo attacco comprometta il tuo sistema. Quindi assicurati di attivare Microsoft Defender e abilitare la protezione in tempo reale.
