Vulnerabilità zero-day di MS Office: "Follina" mette in pericolo milioni di utenti Windows
Una vulnerabilità che non è stata ancora patchata significa che gli utenti di Microsoft Windows possono contrarre malware. La stessa Microsoft ha pubblicato istruzioni su come evitare questo problema.
La vulnerabilità zero-day si chiama "Follina" e colpisce Microsoft Office in combinazione con il Microsoft Diagnostics Tool (MSDT). Sono interessate tutte le versioni di Windows supportate. Secondo un rapporto di Ars Technica, è stato sfruttato per oltre sette settimane. È possibile abusarne tramite documenti Office appositamente preparati. L'aspetto perfido è che, nel caso di un file scaricato, il file L'anteprima di un file scaricato è sufficiente per infettare il sistema.
Microsoft ha già confermato la vulnerabilità e la descrive come segue: "Esiste una vulnerabilità di esecuzione di codice remoto quando MSDT viene invocato tramite il protocollo URL da un'applicazione invocata come Word. Un aggressore che sfrutti con successo questa vulnerabilità può eseguire codice arbitrario con i privilegi dell'applicazione chiamante. L'aggressore può quindi installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account nel contesto consentito dai privilegi dell'utente".
Non esiste ancora una patch da parte di Microsoft, ma l'azienda ha rilasciato un workaround temporaneo che disabilita il protocollo URL MSDT. In questo modo si impedisce che vengano richiamati i collegamenti corrispondenti. Microsoft consiglia di utilizzare questa soluzione fino a quando non verrà rilasciata una correzione tramite aggiornamento.
Come disattivare il protocollo URL MSDT
Ecco come funziona il workaround di Microsoft:
1.
Avviare il prompt dei comandi come amministratore. Per farlo, premere il tasto Windows, quindi digitare "cmd", fare clic sull'applicazione a destra e selezionare "Esegui come amministratore".
Confermare quindi con "Sì".
2.
Per prima cosa eseguite un backup della chiave di registro inserendo il seguente comando e confermando con Invio: "reg export HKEYCLASSESROOT\ms-msdt filename".
È ovviamente possibile sostituire il "nome file" alla fine con un altro nome di file a scelta. Il backup verrà creato in questa forma nella directory in cui ci si trova al momento.
Quindi disattivare il registro con il seguente comando e il tasto Invio: "reg delete HKEYCLASSESROOT\ms-msdt /f".
Questo fa il suo lavoro. Se si desidera annullare la disattivazione, avviare nuovamente il prompt dei comandi come amministratore e immettere il seguente comando: "reg import filename". In questo modo si ripristina il backup creato.
La mia musa ispiratrice si trova ovunque. Quando non la trovo, mi lascio ispirare dai miei sogni. La vita può essere vissuta anche sognando a occhi aperti.