Microsoft ha recentemente annunciato la presenza di una vulnerabilità zero-day critica che colpisce le versioni di Microsoft Office 2016 e successive. Questo problema di sicurezza, noto come CVE-2024-38200, consente agli attaccanti non autenticati di accedere a informazioni protette, come lo stato o la configurazione del sistema, informazioni personali o metadati di connessione. Nonostante l’assenza di un patch immediata, Microsoft sta lavorando su aggiornamenti di sicurezza per risolvere questa vulnerabilità.
Dettagli della Vulnerabilità
La vulnerabilità zero-day, tracciata come CVE-2024-38200, è causata da una debolezza di informazione che consente agli attaccanti di accedere a informazioni protette. Questo problema di sicurezza colpisce diverse versioni di Office, tra cui Office 2016, Office 2019, Office LTSC 2021 e Microsoft 365 Apps for Enterprise. Nonostante l’assenza di un patch immediata, Microsoft sta lavorando su aggiornamenti di sicurezza per risolvere questa vulnerabilità.
Modalità di Attacco
Secondo l’advisory di Microsoft, gli attaccanti potrebbero ospitare un sito web (o utilizzare un sito web compromesso che accetta o ospita contenuti forniti dall’utente) contenente un file specificamente progettato per sfruttare la vulnerabilità. Tuttavia, gli attaccanti non possono costringere l’utente a visitare il sito web. Invece, devono convincere l’utente a cliccare un link, tipicamente tramite un’entusiasmo in un messaggio di posta elettronica o un messaggio di Instant Messenger, e poi convincere l’utente a aprire il file specificamente progettato.
Rischi e Mitigazioni
L’exploitabilità di CVE-2024-38200 è considerata meno probabile dall’assessment di Microsoft, ma il MITRE ha classificato la probabilità di sfruttamento di questo tipo di debolezza come molto probabile. Gli attaccanti che sfruttano questa vulnerabilità possono ottenere un accesso completo al sistema, compromettere la sicurezza e l’integrità dei dati, e impedire l’accesso al sistema compromesso.
Fino alla disponibilità delle patch, Microsoft consiglia di utilizzare Defender for Office e di abilitare la regola di riduzione della superficie di attacco “Block all Office applications from creating child processes”. Inoltre, è possibile aggiungere i nomi degli applicativi di Office elencati nella chiave del registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION come valori di tipo REG_DWORD con dati 1.
Scoperta e Disclosure
La scoperta della vulnerabilità è stata attribuita a Jim Rush, consulente di sicurezza di PrivSec Consulting, e a Metin Yunus Kandemir, membro del team di sicurezza di Synack. Rush discuterà ulteriori dettagli sulla vulnerabilità nel suo talk “NTLM – The last ride” al Defcon.
Conclusioni
Microsoft sta lavorando su aggiornamenti di sicurezza per risolvere questa vulnerabilità zero-day, ma non ha ancora annunciato una data di rilascio. Gli utenti di Office sono incoraggiati a utilizzare le misure di mitigazione disponibili fino a quando non saranno disponibili le patch.
