Nuovi attacchi hacker attraverso Microsoft Office, ecco come fanno i cybercriminali

Una ne fanno e cento ne pensano. Gli hacker ne sanno sempre una in più, per poter entrare nei computer di poveri e ignari utenti e prenderne il controllo, per questo o quell’altro motivo. Adesso è uscito un altro modo in cui i cyber criminali prendono possesso di computer altrui, ed è attraverso uno dei programmi più in uso al mondo: Microsoft Office.

Microsoft, la sede (Adobe Stock)
Microsoft, la sede (Adobe Stock)

L’azienda ha recentemente pubblicato un avviso di sicurezza relativo a un certo tipo di documenti di Microsoft Office alterati e trasformati in veri e propri “cyber kamikaze”. Una tecnica d’attacco abbastanza in voga tra gli hacker che oggi sta sfruttando un’anomalia diversa.

Si tratta infatti di una vulnerabilità, chiamata CVE-2021-40444, basata su MSHTML/Trident. Questo motore di rendering era presente anni fa su Internet Explorer, ormai caduto in disuso, che oggi viene invece usato su Office per poter visualizzare i contenuti web nel documenti di Word, Excel e Power Point.

Office, non aprite quel documento

Office 365 (Adobe Stock)
Office 365 (Adobe Stock)

Ma come fanno i cybercriminali a entrare nei computer altrui ed a prendere il controllo con questa nuova metodologia? In pratica, inviano un documento Office alterato con la CVE-2021-40444, in cui viene incluso anche un controllo ActiveX. Aprendolo con Microsoft Office, si permette all’aggressore che ha inviato il documento di prendere il controllo del computer.

LEGGI ANCHE >>> WhatsApp forza la mano per far testare agli utenti la sua attesissima nuova funzione

Questo perché il motore di rendering MSHTML/Trident esegue il codice ActiveX con gli stessi privilegi dell’utente, e quindi il codice può usare questa sua peculiarità per scaricare e installare un malware scelto direttamente dal cybercriminale.

LEGGI ANCHE >>> Microsoft si prepara a una svolta epocale: con Windows11 arriva una grossa novità

Insomma si tratta di una minaccia potenzialmente molto seria, anche se in realtà è facilmente aggirabile. Infatti nel caso in cui Microsoft Office venga usato con le sue impostazioni predefinite, l’attacco non potrebbe andare a segno perché, in questo caso, le impostazioni predefinite fanno sì che i documenti in download da Internet vengano aperti in visualizzazione protetta o in Application Guard.

Questo significa che non possono accedere alle risorse “trusted” del computer che hanno attaccato e quindi non possono prenderne possesso. Questo tipo di malware riguarda tutte le versioni di Windows, dalla versione 8.1 alla 10, mentre come è noto ai più, non hanno alcun effetto su chi usa invece Microsoft Office su Mac.

Un altro modo per non incappare in questo tipo di malware, è di tenere sempre aggiornati i sistemi antivirus installati sul computer, sia che si tratti di Defender, l’antivirus di Microsoft, sia quelli di altre marche. I firewall e le protezioni in essi contenuti, infatti, sono in grado di resistere a questo tipo di attacchi, a patto che però le loro versioni non siano obsolete e non aggiornate.

Nei prossimi mesi dovrebbe essere anche rilasciato un aggiornamento di sicurezza di Microsoft Office che dovrebbe correggere la falla, anche senza necessità di intervento da parte dell’antivirus, e nel frattempo l’azienda ha consigliato a tutti i suoi utenti di disabilitare l’installazione dei controlli ActiveX in Internet Explorer per evitare che un potenziale attacco possa fare danni.