Microsoft ha rilasciato una patch di emergenza fuori banda per risolvere una vulnerabilità zero day di Microsoft Office attivamente sfruttata, identificata come CVE202621509. La falla consiste nell'aggiramento di una funzionalità di sicurezza che consente agli aggressori di aggirare le mitigazioni fondamentali basate su COM/OLE in Microsoft 365 e Microsoft Office.


La vulnerabilità è attualmente sfruttata in modo selvaggio ed è stata aggiunta al catalogo Known Exploited Vulnerabilities (KEV) della CISA, aumentando l'urgenza di rimediare.

Dettagli della vulnerabilità

CVE202621509

  • Tipo: Bypass delle funzioni di sicurezza
  • Gravità: CVSS 7.8 (Alta )
  • Prodotti interessati :
  • Microsoft Office 2016
  • Microsoft Office 2019
  • Microsoft Office 2021
  • Applicazioni Microsoft 365

Causa principale -

  • Microsoft identifica il problema come "affidamento su input non attendibili in una decisione di sicurezza", che consente agli aggressori di aggirare le protezioni OLE.

Vettore di attacco -

  • Gli attori della minaccia devono inviare un file Office appositamente creato.
  • Il successo dell'attacco dipende dall'interazione con l'utente: il destinatario deve essere convinto ad aprire il file.
  • Il riquadro di anteprima non è un vettore, riducendo il rischio attraverso l'esposizione passiva.

Sfruttamento in natura

Microsoft riconosce che la vulnerabilità viene sfruttata attivamente, anche se non sono stati resi noti i dettagli sulla portata della campagna, l'attribuzione degli attori delle minacce o i TTP. Il problema è stato scoperto internamente da MSTIC, MSRC e dal team di sicurezza del gruppo prodotti Office.

Impatto -

Impatto potenziale

  • Bypass dei controlli di sicurezza OLE
  • Esecuzione di componenti COM/OLE dannosi
  • Consegna di payload secondari
  • Compromissione delle credenziali attraverso flussi di lavoro di documenti dannosi
  • Aumento dell'esposizione in ambienti aziendali in cui le macro di Office e i componenti incorporati sono comuni

Esposizione aziendale

Le organizzazioni sono a rischio elevato se

  • Gli utenti ricevono frequentemente file Office esterni
  • Le distribuzioni di Office precedenti (2016/2019) sono ancora attive
  • I flussi di lavoro dei documenti si basano sull' automazione integrata basata su OLE o COM.

Mitigazione e patch -

Microsoft ha distribuito aggiornamenti di emergenza per:

  • Office 2019
  • 32bit: 16.0.10417. 20095
  • 64bit: 16.0.10417. 20095
  • Ufficio 2016
  • 32 bit: 16.0.5539. 1001
  • 64bit: 16.0.5539. 1001

Protezione automatica

  • Gli utenti di Office 2021 e successivi sono protetti tramite una modifica del servizio, madevono riavviare le applicazioni di Office per attivare la protezione.

Raccomandazioni.

Azione immediata

  • Distribuire le patch di emergenza a tutte le installazioni di Office (priorità 2016/2019).
  • Imporre il riavvio delle applicazioni Office per gli utenti 2021/Microsoft 365.

 

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più importanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa, mettetevi in contatto per scoprire come potete proteggere la vostra organizzazione.

 

Contattaci