Non sembrano conoscere alcuna tregua, quanto a sicurezza informatica, nemmeno gli utenti dei computer Windows che, di recente, hanno incominciato a confrontarsi con due pericolose vulnerabilità decisamente attrattive per gli hacker.
La prima, portata all’attenzione generale dal debunkologo Paolo Attivissimo nel corso del suo consueto podcast settimanale per la radio svizzera, riguarda la vulnerabilità CVE-2022-30190, battezzata come “Follina” dall’esperto di sicurezza Kevin Beaumon che ne aveva tratto evidenza in un documento Word creato ad arte, denominato 05-2022-0438.doc, con le ultime cifre che ricordano proprio il prefisso telefonico della cittadina in provincia di Treviso.
La vulnerabilità in oggetto risulta essere stata adoperata sin da Aprile, quando circolavano alcuni documenti Word che proponevano finte interviste per l’agenzia stampa russa Sputnik: non sono mancati, poi, altri episodi più “terra terra” in merito all’uso di questa vulnerabilità, come l’invio di documenti che millantavano la scoperta di infedeltà coniugali, con tanto di foto e di promessa di ricatto e/o vendetta. Quel che conta è che, indipendentemente dagli episodi, la vulnerabilità Follina coinvolge tutte le recenti versioni di Office e risulta particolarmente temibile, perché agisce anche se l’utente non attiva le macro, solito veicolo di propagazione di attacchi simili, o si limita a visualizzare un’anteprima del documento dall’Esplora File (ex Esplora Risorse).
Al momento, Microsoft non ha ancora corretto il problema: per proteggersene, è possibile modificare alcune chiavi di registro di Windows, secondo una procedura illustrata dalla software house Sophos (nakedsecurity.sophos.com/2022/05/31/mysterious-follina-zero-day-hole-in-office-what-to-do/) e affidarsi a un buon antivirus aggiornato, visto che le recenti soluzioni di protezione software risultano in grado di riconoscere e neutralizzare i documenti Office creati per sfruttare “Follina”.
Qualcosa di simile è stato poi segnalato su Twitter anche dagli hacker etici (buoni) di hackerfantastic.crypto. In questo caso si tratta di una vulnerabilità zero day, che affliggerebbe il protocollo di ricerca URI “search-ms” di Windows: cliccando su alcuni documenti di Office 2019 ma anche su documenti RTF (rich text format), si aprirebbe una finestra di ricerca che manderebbe in avvio alcuni eseguibili infetti, conferendo all’attaccante il controllo del computer della vittima.
Anche in questo caso non è presente un fix di Microsoft, e la soluzione è affidata al fai da te. Nello specifico, dal prompt di comandi (esegui-cmd in modalità amministratore) va prima digitato “reg export HKEY_CLASSES_ROOTsearch-ms search-ms.reg” per salvare la chiave di registro, che poi si andrà temporaneamente a cancellare via “reg delete HKEY_CLASSES_ROOTsearch-ms /f “.