Microsoft ha dichiarato di aver identificato un numero limitato di attacchi mirati a una vulnerabilità legata all'esecuzione di codice in modalità remota in MSHTML che colpisce Microsoft Windows.
CISA ha rilasciato il proprio messaggio esortando “gli utenti e le organizzazioni a rivedere le mitigazioni e le soluzioni alternative di Microsoft per affrontare CVE-2021-40444, una vulnerabilità di esecuzione di codice remoto in Microsoft Windows”.
Microsoft ha affermato che la vulnerabilità è stata scoperta per la prima volta da Rick Cole del Microsoft Security Response Center, Haifei Li di EXPMON e Dhanesh Kizhakkinan, Bryce Abdo e Genwei Jiang di Mandiant.
“Microsoft è a conoscenza di attacchi mirati che tentano di sfruttare questa vulnerabilità utilizzando documenti di Microsoft Office appositamente predisposti. Un utente malintenzionato potrebbe creare un controllo ActiveX dannoso da utilizzare da un documento di Microsoft Office che ospita il motore di rendering del browser”, ha spiegato Microsoft.
“L'aggressore dovrebbe quindi convincere l'utente ad aprire il documento dannoso. Gli utenti i cui account sono configurati per avere meno diritti utente sul sistema potrebbero essere meno colpiti rispetto agli utenti che operano con diritti utente amministrativi.”
La versione Microsoft rileva che i loro Defender Antivirus e Defender for Endpoint proteggono dalla vulnerabilità. Chiunque disponga degli strumenti e utilizzi gli aggiornamenti automatici è al sicuro dalla vulnerabilità, mentre hanno notato che i clienti aziendali che gestiscono gli aggiornamenti “dovrebbero selezionare la build di rilevamento 1.349.22.0 o successiva e distribuirla nei loro ambienti”.
Gli avvisi in Microsoft Defender verranno visualizzati come “Esecuzione file Cpl sospetta”.
Microsoft ha affermato che una volta terminata l'indagine, invierà un aggiornamento di sicurezza in una versione di Patch Tuesday o in un aggiornamento di sicurezza fuori ciclo separato.
La versione aggiunge che Microsoft Office apre i documenti da Internet in Visualizzazione protetta o Application Guard per Office per impostazione predefinita, entrambi i quali impediscono l'attacco corrente.
In termini di mitigazioni e soluzioni alternative, Microsoft ha suggerito di disabilitare l'installazione di tutti i controlli ActiveX in Internet Explorer.
“Ciò può essere ottenuto per tutti i siti aggiornando il registro. I controlli ActiveX installati in precedenza continueranno a essere eseguiti, ma non esporranno questa vulnerabilità”, afferma il comunicato. “Se si utilizza l'Editor del Registro di sistema in modo errato, si potrebbero causare seri problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non può garantire che sia possibile risolvere i problemi derivanti dall'utilizzo errato dell'Editor del Registro di sistema.”
L'avviso fornisce anche istruzioni specifiche su come disabilitare i controlli ActiveX su un singolo sistema.
L'analista di minacce Mandiant Andrew Thompson ha osservato che “i rilevamenti robusti incentrati sul comportamento post-sfruttamento sono una rete di sicurezza che consente di rilevare le intrusioni che comportano lo sfruttamento zero-day”.
Sicurezza
T -Mobile hack: tutto ciò che devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA La minaccia ransomware è in crescita: cosa deve succedere per impedire che gli attacchi peggiorino? (ZDNet YouTube)
Argomenti correlati:
Security Enterprise Software Windows Windows 10 Collaboration Cloud 