Brecha no Microsoft Office pode ser mais perigosa do que parecia

Uma brecha no Windows descoberta nesta semana, e ainda não corrigida pela Microsoft, pode ser mais perigosa do que acreditava a própria empresa e os analistas de segurança. De acordo com uma análise posterior da vulnerabilidade, que está em uma integração da suíte de aplicativos com o Internet Explorer, nem mesmo os sistemas de proteção automático ou desativação no carregamento de certos conteúdos podem impedir que um ataque mais sofisticado seja executado.

• Usuários do Office são alvo de falha ainda não corrigida no Windows
• Vulnerabilidades conhecidas ainda representam maior perigo para as empresas
• Elastic mostra como sistemas de segurança podem usar a análise de dados

A vulnerabilidade CVE-2021-40444 aparece como a versão mais perigosa de um golpe conhecido, utilizando e-mails fraudulentos para entregar documentos aos usuários — dentro, está a exploração, que a partir de conteúdos carregados da internet, também permite a execução remota de códigos maliciosos. Sistemas automatizados, normalmente, são capazes de reconhecer tais atributos, assim como os macros que são utilizados nas tentativas de intrusão mais comuns, mas na visão de especialistas em segurança digital do instituto CERT/CC, da Universidade Carnegie Mellon, podem não ser eficazes.

Ao serem abertos, esses documentos exigem um alerta de bloqueio, com o Windows detectando a presença de conteúdo online e impedindo, além do carregamento de dados, também a edição. Para o analista Will Dormann, a telemetria mostra que muitos usuários ignoram tal alerta e habilitam o recurso mesmo que não tenham a intenção de modificar o conteúdo. Além disso, ele aponta que arquivos no formato RTF ou oriundos de pacotes com formato 7Zip ou ISO, por exemplo, nem mesmo têm o aviso exibido, podendo ser usados por criminosos em ataques.

A segunda indicação da Microsoft para mitigar a vulnerabilidade é bloquear a execução de controles ActiveX, a partir das configurações do Office. Enquanto o código que vem sendo usado para os ataques depende disso, o pesquisador em segurança Kevin Beaumont diz ser capaz de modificar a ação de forma que tais comandos não sejam mais necessários — no processo, ele também simplificou o ataque, bastando um clique do usuário para que o golpe aconteça.

Formato comum

A atenção a e-mails fraudulentos continua sendo a principal artimanha dos usuários para se defenderem de golpes desse tipo. Apesar dos novos métodos, os criminosos ainda precisam da engenharia social para que o ataque funcione, e em uma das amostras analisadas por especialistas, o medo de processos contra a empresa é utilizado como arma, na forma de uma notificação extrajudicial falsa, em nome de um suposto cliente que deseja acionar a justiça.

Caso a brecha seja efetivamente explorada, é instalado um beacon do Cobalt Strike, um software que normalmente é usado para testes de segurança mas vem se tornando, também, arma de criminosos digitais. A partir daí, eles ganham acesso remoto à máquina e podem seguir na instalação de malwares, extração de dados e diferentes tipos de ataque.

A Microsoft segue investigando o caso e mantém o alerta aos usuários para que desativem controles ActiveX e não abram documentos desconhecidos. Por outro lado, não existe previsão de lançamento de uma atualização que mitigue a brecha de vez.

Fonte: Bleeping Computer