Vulnerabilità sulle firme digitali OOXML 

Proto: N020623

CERT Yoroi informa che recentemente è stato rilasciato un paper scientifico riguardante alcune vulnerabilità presenti all'interno del sistema di firme OOXML usate dai prodotti Microsoft. 

OOXML è uno standard Ecma/ISO usato da tutte le più recenti versioni di Microsoft Office. Lo standard serve a garantire l’autenticità, l’integrità e la non ripudiabilità consentendo agli utenti di apporre delle firme digitali per confermare l’autenticità dei contenuti e del proprietario del documento. La firma pertanto viene elaborata creando per prima cosa un hash del documento stesso, segno di unicità, e successivamente crittografata con la chiave privata del firmatario. Per il controllo della firma invece, esiste un apposito software di controllo firme OOXML che ha il compito di verificare l'autenticità della firma andando a decrittografare il contenuto del documento con la chiave pubblica del sottoscrittore e facendo il checksum con l’hash per verificare che l’hash stesso risulti inalterato. 

Un gruppo di ricercatori ella Ruhr University Bochum in Germania, come da report, hanno però scoperto 5 vulnerabilità nel sistema di firma dei documenti Office, nel dettaglio 3 di "specifiche" e 2 di "implementazione". Della prima categoria fanno parte: 

1. il content injection attack: sfrutta le discrepanze presenti nello standard per visualizzare contenuti in file che dovrebbero usati per altri scopi, per esempio per contenere metainformazioni; 

2. il content masking attack: manipola le informazioni di stile del documento dopo che è stato firmato, alterando il contenuto visualizzato 

3. legacy wrapping attack: inserisce la firma valida di un documento legacy (come il .doc) in un documento con firma OOXML, per ingannare l’utente con una firma autentica su un contenuto modificato dall’attaccante 

Mentre nella seconda categoria troviamo:  

1. l’universal signature forgery: sfrutta una vulnerabilità presente nella logica di verifica della firma che permette agli attaccanti di alterare qualsiasi contenuto dei documenti; 

2. il malicious repair attack: sfrutta la funzionalità di repair di Office per nascondere i contenuti originali e mostrare quelli dannosi, ed è l’unica vulnerabilità che se usata in un attacco richiede l’interazione dell’utente (il click sul pulsante “repair”). 

Microsoft, specificano i ricercatori, ha riconosciuto l’esistenza e l’impatto delle vulnerabilità e ha premiato la ricerca con un bug bounty. Nonostante ciò, l’azienda non ritiene necessario un intervento immediato; è possibile, comunque, che in futuro arrivino dei fix. 

A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di prestare particolare attenzione ai documenti ricevuti.  

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index 

Risorse esterne: 

• https://www.ilsoftware.it/identificazione-digitale-euronovate-presenta-la-nuova-piattaforma-wid/  
• https://www.securityinfo.it/2023/06/14/firma-documenti-office-vulnerabilita-ooxml/ 
• https://www.usenix.org/system/files/sec23summer_235-rohlmann-prepub.pdf