Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software Technologies, invita gli utenti di Windows ad aggiornare il loro software, dopo aver scoperto quattro vulnerabilità di sicurezza nei prodotti della suite Microsoft Office, tra cui Excel e Office online. Provenienti dal codice legacy, le vulnerabilità potrebbero aver concesso a un aggressore la capacità di eseguire codice dannoso tramite documenti di Office, come Word, Excel e Outlook. Le vulnerabilità sono il risultato di errori di parsing nel codice legacy trovato nei formati di file Excel95, dando ai ricercatori motivo di credere che le falle di sicurezza esistano da diversi anni.
La scoperta di CPR
CPR ha individuato le vulnerabilità tramite il “fuzzing” di MSGraph, un componente che può essere incorporato nei prodotti Microsoft Office per visualizzare grafici e tabelle. Il fuzzing è una tecnica di test automatico del software che cerca di trovare bug di software hackerabili, alimentando casualmente input di dati non validi e inaspettati in un programma per computer, al fine di trovare errori di codifica e falle di sicurezza. Usando questa tecnica, CPR ha scoperto funzioni vulnerabili all’interno di MSGraph. Controlli simili del codice hanno confermato che la funzione vulnerabile era comunemente usata in diversi prodotti Microsoft Office, come Excel, Office Online Server e Excel per OSX.
Figure 1: MSGraph editor embedded in a Microsoft Excel document
La metodologia d’attacco
Le vulnerabilità trovate possono essere incorporate nella maggior parte dei documenti Office. Quindi, ci sono molteplici vettori di attacco che possono essere immaginati. Il più comune sarebbe:
- La vittima scarica un file Excel dannoso (formato XLS). Il documento può essere scaricabile tramite o all’interno di una e-mail, ma l’hacker non può forzare la vittima a scaricarlo
- L’utente apre il file Excel dannoso
- La vulnerabilità viene attivata
Dal momento che l’intera suite Office ha la capacità di incorporare oggetti Excel, questo amplia il vettore di attacco, rendendo possibile l’esecuzione di un tale attacco su quasi tutti i software Office, tra cui Word, Outlook e altri tool.
Dichiarazione responsabile
CPR ha divulgato responsabilmente la sua ricerca a Microsoft, che ha patchato le vulnerabilità di sicurezza, rilasciando CVE-2021-31174, CVE-2021-31178, CVE-2021-31179. La quarta patch, classificata come (CVE-2021-31939), sarà rilasciata quest’oggi, 8 giugno 2021, nel Patch Tuesday.
Yaniv Balmas, Head of Cyber Research di Check Point Software:
“Le vulnerabilità trovate riguardano quasi tutto l’ecosistema Microsoft Office. È possibile eseguire un attacco del genere su Word, Outlook e altri software. Abbiamo capito che le vulnerabilità sono dovute a errori di parsing fatti nel codice legacy. Uno degli insegnamenti principali della nostra ricerca è che il codice legacy continua ad essere un anello debole nella security chain, specialmente in software complessi come Microsoft Office. Anche se abbiamo trovato solo quattro vulnerabilità sulla superficie di attacco, non si può mai dire quante altre falle come queste siano ancora in giro. Invito caldamente gli utenti di Windows ad aggiornare immediatamente il loro software, poiché ci sono diversi vettori di attacco possibili per sfruttare le vulnerabilità scovate.”
