Mercado fechado
  • BOVESPA

    100.591,41
    -172,59 (-0,17%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    48.435,45
    +140,65 (+0,29%)
     
  • PETROLEO CRU

    112,33
    +0,57 (+0,51%)
     
  • OURO

    1.820,70
    -0,50 (-0,03%)
     
  • BTC-USD

    20.286,15
    -456,27 (-2,20%)
     
  • CMC Crypto 200

    439,34
    -10,72 (-2,38%)
     
  • S&P500

    3.821,55
    -78,56 (-2,01%)
     
  • DOW JONES

    30.946,99
    -491,31 (-1,56%)
     
  • FTSE

    7.323,41
    +65,09 (+0,90%)
     
  • HANG SENG

    22.418,97
    +189,47 (+0,85%)
     
  • NIKKEI

    26.782,25
    -267,22 (-0,99%)
     
  • NASDAQ

    11.686,75
    +12,50 (+0,11%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,5436
    -0,0005 (-0,01%)
     

Brecha no Microsoft Office permite invasão na abertura de documentos do Word

  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.
Neste artigo:
  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.

Uma vulnerabilidade de alta severidade no Microsoft Office permite que ataques envolvendo a execução remota de códigos sejam realizados, apenas, pela abertura de um documento do Word. A brecha é do tipo dia zero, ou seja, desconhecida até agora até mesmo pelos próprios desenvolvedores da empresa, e não tem previsão de correção, enquanto já aparenta estar sendo utilizada por cibercriminosos.

Segundo diferentes pesquisadores em segurança que se debru’’caram sobre a questão, incluindo o especialista nao_sec, a vulnerabilidade aparece nas versões 2013, 2016, 2021 e Pro Plus do Office. Todas podem estar funcionando com as atualizações mais recentes, com a abertura estando disponível até mesmo no Windows 11; em todos os casos, o intuito parece ser a abertura de portas para intrusão em redes ou a instalação de malwares para roubo de credenciais que permitam novas explorações.

O problema acontece na Ferramenta de Diagnóstico da Microsoft (MSDT, em inglês). É a partir dela que a vulnerabilidade, que está sendo chamada de Follina, pode executar comados PowerShell maliciosos, sendo capaz de escalar privilégios e evadir a detecção, até mesmo, do Defender. Macros e outros elementos normalmente usados em ataques usando apps do Office também não são necessários, bastando que o documento do Word seja aberto no computador para que os códigos maliciosos sejam executados a partir de links externos usados na aplicação de temas e outros elementos.

O segredo está em um código ofuscado pelos criminosos, escondido no arquivo e funcional mesmo nos sistemas onde a execução de macros está desabilitada. A exploração envolvia o download de um arquivo em formato RAR cujo conteúdo era desencriptado e instalado; pesquisadores em segurança não puderam encontrar o pacote, o que impediu entender, exatamente, qual o intuito dos atacantes com esse golpe.

Enquanto mecanismos usuais de segurança do Word, como o alerta sobre a possibilidade de perigo no arquivo são exibidos, tais avisos podem ser facilmente evadidos, simplesmente, com a mudança do formado de DOCX para RTF pelos atacantes. Assim, aponta o especialista Kevin Beaumont, um dos envolvidos na divulgação da falha, seria possível rodar o comando PowerShell sem que o usuário nem mesmo abra o documento, bastando que ele clique uma vez sobre ele para rodar prévias ou ver informações.

Ainda segundo o pesquisador, é difícil detectar um ataque, pois, como dito, o Windows não considera o uso de temas no Word como malicioso; a melhor forma de identificação, aponta ele, é o monitoramento de processos, uma vez que o MSDT é usado para a exploração. Além disso, dá para notar a execução de outros elementos, sdiagnhost.exe e conhost.exe, que indicam a possível instalação das pragas usadas nos ataques.

A criação de regras em softwares de segurança, então, são o melhor caminho para proteção, principalmente no ambiente corporativo, maior alvo de ataques envolvendo documentos do Word. A recomendação é de aplicação de uma regra que impeça a criação de processos secundários por aplicações do Office ou bloquear o uso da ferramenta de diagnósticos pela suíte de aplicativos, de forma que ela não possa ser acionada e explorada, mesmo que um documento comprometido seja aberto.

Brecha no Word tem mitigação disponibilizada pela Microsoft

Enquanto um aviso geral é dado por pesquisadores em segurança independentes sobre o risco iminente, a Microsoft reconheceu a falha apenas nesta segunda-feira (30). Entretanto, especialistas apontam que a Follina já havia sido reportada à empresa há mais de um mês, mas que foi descartada com a companhia alegando não ter sido capaz de reproduzir a vulnerabilidade.

Na manhã desta terça-feira (31), porém, a Microsoft disponibilizou um guia para auxiliar usuários na mitigação da falha, através da modificação do protocolo MDST URL. Detalhamos o processo a seguir:

  • Execute a Prompt de comando como administrador;

  • Faça backup da chave de registro referente ao protocolo através da execução do comando "reg export HKEY_CLASSES_ROOTms-msdt ms-msdt.reg";

  • Por fim, execute o comando "reg delete HKEY_CLASSES_ROOTms-msdt /f".

Além disso, é recomendado também o desligamento da função prévia de documentos no Explorador de Arquivos do Windows, já que a ameaça, segundo informações do analista de vulnerabilidades Will Dorman, não pode ser bloqueada se o arquivo teve prévia exibida pelo sistema.

*Colaborou Dácio Castelo Branco.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos