Brecha no Microsoft Office permite invasão na abertura de documentos do Word

Uma vulnerabilidade de alta severidade no Microsoft Office permite que ataques envolvendo a execução remota de códigos sejam realizados, apenas, pela abertura de um documento do Word. A brecha é do tipo dia zero, ou seja, desconhecida até agora até mesmo pelos próprios desenvolvedores da empresa, e não tem previsão de correção, enquanto já aparenta estar sendo utilizada por cibercriminosos.

• 41 brechas em softwares de big techs estão entre falhas usadas em cibercrimes
• Microsoft encontra falhas críticas em apps de Android de operadoras móveis

Segundo diferentes pesquisadores em segurança que se debru’’caram sobre a questão, incluindo o especialista nao_sec, a vulnerabilidade aparece nas versões 2013, 2016, 2021 e Pro Plus do Office. Todas podem estar funcionando com as atualizações mais recentes, com a abertura estando disponível até mesmo no Windows 11; em todos os casos, o intuito parece ser a abertura de portas para intrusão em redes ou a instalação de malwares para roubo de credenciais que permitam novas explorações.

O problema acontece na Ferramenta de Diagnóstico da Microsoft (MSDT, em inglês). É a partir dela que a vulnerabilidade, que está sendo chamada de Follina, pode executar comados PowerShell maliciosos, sendo capaz de escalar privilégios e evadir a detecção, até mesmo, do Defender. Macros e outros elementos normalmente usados em ataques usando apps do Office também não são necessários, bastando que o documento do Word seja aberto no computador para que os códigos maliciosos sejam executados a partir de links externos usados na aplicação de temas e outros elementos.

O segredo está em um código ofuscado pelos criminosos, escondido no arquivo e funcional mesmo nos sistemas onde a execução de macros está desabilitada. A exploração envolvia o download de um arquivo em formato RAR cujo conteúdo era desencriptado e instalado; pesquisadores em segurança não puderam encontrar o pacote, o que impediu entender, exatamente, qual o intuito dos atacantes com esse golpe.

Enquanto mecanismos usuais de segurança do Word, como o alerta sobre a possibilidade de perigo no arquivo são exibidos, tais avisos podem ser facilmente evadidos, simplesmente, com a mudança do formado de DOCX para RTF pelos atacantes. Assim, aponta o especialista Kevin Beaumont, um dos envolvidos na divulgação da falha, seria possível rodar o comando PowerShell sem que o usuário nem mesmo abra o documento, bastando que ele clique uma vez sobre ele para rodar prévias ou ver informações.

Ainda segundo o pesquisador, é difícil detectar um ataque, pois, como dito, o Windows não considera o uso de temas no Word como malicioso; a melhor forma de identificação, aponta ele, é o monitoramento de processos, uma vez que o MSDT é usado para a exploração. Além disso, dá para notar a execução de outros elementos, sdiagnhost.exe e conhost.exe, que indicam a possível instalação das pragas usadas nos ataques.

A criação de regras em softwares de segurança, então, são o melhor caminho para proteção, principalmente no ambiente corporativo, maior alvo de ataques envolvendo documentos do Word. A recomendação é de aplicação de uma regra que impeça a criação de processos secundários por aplicações do Office ou bloquear o uso da ferramenta de diagnósticos pela suíte de aplicativos, de forma que ela não possa ser acionada e explorada, mesmo que um documento comprometido seja aberto.

Brecha no Word tem mitigação disponibilizada pela Microsoft

Enquanto um aviso geral é dado por pesquisadores em segurança independentes sobre o risco iminente, a Microsoft reconheceu a falha apenas nesta segunda-feira (30). Entretanto, especialistas apontam que a Follina já havia sido reportada à empresa há mais de um mês, mas que foi descartada com a companhia alegando não ter sido capaz de reproduzir a vulnerabilidade.

Na manhã desta terça-feira (31), porém, a Microsoft disponibilizou um guia para auxiliar usuários na mitigação da falha, através da modificação do protocolo MDST URL. Detalhamos o processo a seguir:

• Execute a Prompt de comando como administrador;
• Faça backup da chave de registro referente ao protocolo através da execução do comando "reg export HKEY_CLASSES_ROOTms-msdt ms-msdt.reg";
• Por fim, execute o comando "reg delete HKEY_CLASSES_ROOTms-msdt /f".

Além disso, é recomendado também o desligamento da função prévia de documentos no Explorador de Arquivos do Windows, já que a ameaça, segundo informações do analista de vulnerabilidades Will Dorman, não pode ser bloqueada se o arquivo teve prévia exibida pelo sistema.

*Colaborou Dácio Castelo Branco.

Fonte: Bleeping Computer, Microsoft