MSHTLM zero-day di Windows: come Evitare l’Attacco!

/ / Published in Blog, Cybersecurity

Nonostante non ci siano ancora dettagli precisi, Microsoft sta avvisando gli utenti di Office di un bug denominato “CVE-2021-40444”. Annunciando una patch per la risoluzione diramata il 14 settembre scorso. Si tratta di una “vulnerabilità che permette l’esecuzione di codice remoto Microsoft MSHTML” e quindi un problema che apre le porte a qualsiasi operazione. Uno zero-day perfetto, invisibile e allettante per qualsiasi cybercriminale. MSHTML è il vecchio motore di rendering di Internet Explorer che è ancora presente nei sistemi Windows perché utilizzato dagli applicativi di Office.

Come funziona l’attacco?

  • Si riceve un file di Office via email o lo si scarica direttamente da Internet;
  • Il documento contiene un codice (ActiveX)
  • Il codice ActiveX attiva Windows MSHTLM che permette di cedere il controllo aprendo una back door che i male intenzionati utilizzano per poter prendere il controllo della macchina ed installare qualsiasi malware senza problemi

Come evitarlo?

  • Non aprire documenti sospetti: diffidare di documenti che si ricevono da sconosciuti ed evitare di scaricare da siti non verificati file di Office.
  • Non modificare la visualizzazione protetta di Office: a tutti i documenti ricevuti tramite email o scaricati dal Web, per impostazione predefinita, viene impedita l’esecuzione di ogni tipologia di contenuti attivi.
  • Non cliccare mai sulla barra di colore giallo che indica “Abilita modifica”.
  • Applicare la visualizzazione protetta permanentemente
  • Disabilitare i controlli ActiveX che usano il rendering Web MSHTLM: in questo modo viene impedito il funzionamento dei controlli ActiveX che sono presenti nei documenti.
  • Disabilitare completamente l’ActiveX su Office

Per ultimo, ricordiamo che la presenza di un sistema completo di sicurezza informatica (endpoint, firewall, email, web), basato sulla rilevazione di comportamenti anomali (deep learning) è l’unico sistema in grado di bloccare gli zero-day e Sophos con i suoi prodotti sta dimostrando, anche in questo caso, di essere l’unico a garantire protezione sincronizzata al cento per cento.

What you can read next

Profilare gli Utenti è davvero così importante?
ASERNET da il suo contributo al dialogo tra UNIVERSITA’ di BARI e il Distretto Produttivo dell’Industria Culturale “DIALOGOI”
Asernet al WMF 2024 a Bologna Fiere dal 13 al 15 Giugno