I ricercatori dei laboratori “Embedi” hanno individuato un altra vulnerabilità che affligge tutte le versioni di Office (anche la 365) prodotte negli ultimi 15 anni, grazie ad una caratteristica condivisa tra di loro, ovvero il componente EQNEDT32.EXE relativo il Microsoft Equation Editor.
Come funziona
Nello specifico la vulnerabilità permetterebbe ad un attaccante di eseguire del codice maligno da remoto attraverso l’apertura di un file creato ad hoc, l’esecuzione del codice maligno avviene subito dopo l’apertura del file e senza alcuna ulteriore interazione dell’utente.
Potresti leggere: Come impostare Office per proteggersi da attacchi DDE
Questo a causa di un problema rilevato nel file EQNEDT32.EXE il quale non riesce a gestire correttamente alcuni componenti residenti in memoria, corrompendoli di conseguenza e permettendo quindi all’attaccante di eseguire codice nel contesto dell’utente corrente.
Di seguito il video dimostrativo dell’attacco:
Come proteggersi da questo tipo di vulnerabilità
Microsoft ha corretto la vulnerabilità con gli aggiornamenti rilasciati nel mese di novembre. Ad ogni modo è possibile intervenire a livello di registro per stare più al “sicuro”.
WIN + X > prompt dei comandi come amministratore > ora digitare
reg add “HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400
Per le versioni di Office a 32 bit in ambiente a 64 invece digitare
reg add “HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400
Approfondimenti: Skeleton in the closet. MS Office vulnerability you didn’t know about