Vulnerabilità zero-day di MS Office: "Follina" mette in pericolo milioni di utenti Windows

La vulnerabilità zero-day si chiama "Follina" e colpisce Microsoft Office in combinazione con il Microsoft Diagnostics Tool (MSDT). Sono interessate tutte le versioni di Windows supportate. Secondo un rapporto di Ars Technica, è stato sfruttato per oltre sette settimane. È possibile abusarne tramite documenti Office appositamente preparati. L'aspetto perfido è che, nel caso di un file scaricato, il file L'anteprima di un file scaricato è sufficiente per infettare il sistema.

Microsoft ha già confermato la vulnerabilità e la descrive come segue: "Esiste una vulnerabilità di esecuzione di codice remoto quando MSDT viene invocato tramite il protocollo URL da un'applicazione invocata come Word. Un aggressore che sfrutti con successo questa vulnerabilità può eseguire codice arbitrario con i privilegi dell'applicazione chiamante. L'aggressore può quindi installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account nel contesto consentito dai privilegi dell'utente".

Non esiste ancora una patch da parte di Microsoft, ma l'azienda ha rilasciato un workaround temporaneo che disabilita il protocollo URL MSDT. In questo modo si impedisce che vengano richiamati i collegamenti corrispondenti. Microsoft consiglia di utilizzare questa soluzione fino a quando non verrà rilasciata una correzione tramite aggiornamento.

Come disattivare il protocollo URL MSDT

Ecco come funziona il workaround di Microsoft:

1.

Avviare il prompt dei comandi come amministratore. Per farlo, premere il tasto Windows, quindi digitare "cmd", fare clic sull'applicazione a destra e selezionare "Esegui come amministratore".

Confermare quindi con "Sì".

2.

Per prima cosa eseguite un backup della chiave di registro inserendo il seguente comando e confermando con Invio: "reg export HKEY_CLASSES_ROOT\ms-msdt filename".

È ovviamente possibile sostituire il "nome file" alla fine con un altro nome di file a scelta. Il backup verrà creato in questa forma nella directory in cui ci si trova al momento.

Quindi disattivare il registro con il seguente comando e il tasto Invio: "reg delete HKEY_CLASSES_ROOT\ms-msdt /f".

Questo fa il suo lavoro. Se si desidera annullare la disattivazione, avviare nuovamente il prompt dei comandi come amministratore e immettere il seguente comando: "reg import filename". In questo modo si ripristina il backup creato.

Potrebbero interessarti anche questi articoli