Ultimo aggiornamento: 2022/06/02 9:00.
Morto un malware se ne fa un altro, si potrebbe dire: si è appena concluso
felicemente il problema di
Flubot
e già siamo alle prese con un nuovo aggressore informatico, che stavolta
colpisce gli utenti di Microsoft Word e Windows tramite documenti Word infettanti.
Lo fa sfruttando una vulnerabilità, presente in tutte le versioni recenti di
Office e di Windows, che sorprendentemente riesce ad agire anche se sono state disabilitate
le macro, che sono un vettore abituale di attacco, e anche se il documento
Word non viene aperto ma soltanto visualizzato da un’anteprima in Esplora
file.
Una volta avviato l’attacco, l’aggressore può prendere il controllo
sostanzialmente completo del computer della vittima, per esempio installando programmi o guardando, modificando o cancellando dati a suo piacimento. Un bel guaio, insomma.
Microsoft non ha ancora diffuso un aggiornamento di sicurezza che corregga il
problema, e la falla viene già sfruttata attivamente dai criminali
informatici, ma i principali antivirus riconoscono già i documenti Word infettanti e quindi proteggono abbastanza bene gli utenti.
La vulnerabilità è stata soprannominata Follina dal ricercatore di
sicurezza Kevin Beaumont; un nome strano, visto che
Follina
è una località italiana in provincia di Treviso. Ma non c’è alcun intento di
accusare i follinesi di essere artefici di attacchi informatici: Beaumont ha
semplicemente visto che uno dei primi esemplari di documento Word infetto si
chiamava
05-2022-0438.doc e il significato della prima parte del nome gli pareva
ovvio (“maggio 2022”) ma non riusciva a spiegarsi lo 0438. Ha notato
che 0438 era il prefisso telefonico di Follina, e così lo ha
scelto
come nome facilmente ricordabile per questa vulnerabilità, che altrimenti
sarebbe identificata formalmente dall’assai meno memorabile sigla tecnica
CVE-2022-30190. Gli informatici sono fatti così.
La vulnerabilità viene sfruttata almeno da aprile scorso, quando sono stati
segnalati a Microsoft dei documenti Word, costruiti appositamente per
utilizzarla, che fingevano di essere richieste di interviste dell’agenzia di
notizie russa Sputnik. Ma ci sono anche altri esempi di attacco informatico
che usano questa falla, per esempio ad opera di gruppi criminali cinesi e per
rubare password.
Una volta scoperta, insomma, questa vulnerabilità ha cominciato a circolare fra i malviventi
informatici, che stanno usando i pretesti emotivi più disparati per incuriosire le
vittime e indurle a scaricare e visualizzare il documento Word infettante. Uno
dei
primi casi
di Follina, per esempio, si presentava come una denuncia di un’infedeltà di
coppia, corredata da foto compromettenti e da una promessa di vendetta e
ricatto: una tentazione morbosamente irresistibile per molti utenti.
In attesa che Microsoft distribuisca un aggiornamento correttivo,
sono state pubblicate delle
istruzioni tecniche
per disabilitare le funzioni di Windows che rendono possibile la falla. In
sostanza si tratta di modificare una chiave del Registro di Windows che riguarda il servizio Microsoft Support Diagnostic Tool (MSDT), come
descritto
per esempio da Paul Ducklin di Sophos, cosa che però molti utenti non sono in
grado di fare. Per cui se usate Windows vi conviene aggiornare il vostro antivirus, fare molta
attenzione ai documenti Word inattesi, specialmente se hanno contenuti che
possono stuzzicare la curiosità, e aspettare con impazienza l’aggiornamento di Microsoft.
Per i più coraggiosi, le istruzioni per disabilitare temporaneamente la chiave del Registro sono queste:
- Eseguire il Prompt dei comandi come Amministratore.
- Fare una copia di backup della chiave, dando il comando reg export HKEY_CLASSES_ROOT\ms-msdt nome_file (dove nome_file è il nome del file nel quale salvate il backup)
- Eseguire il comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f.
Fonti aggiuntive:
Huntress,
Cisa.gov,
Graham Cluley, Ars Technica,
The Register,
BleepingComputer.