Falha do Windows que possibilitava a execução remota de códigos é corrigida
Por André Lourenti Magalhães |
A Microsoft publicou um patch no último dia 9 para corrigir uma vulnerabilidade no Windows que permitia ataques de execução remota de códigos a partir do extinto Internet Explorer. O problema foi identificado por pesquisadores Check Point Research em maio e afeta as versões 10 e 11 do sistema operacional.
A vulnerabilidade de Dia Zero recebeu o código CVE-2024-38112 e o estima-se que está sendo explorada em ambientes reais há mais de um ano. Para isso, os invasores usam arquivos de atalho da Internet do Windows com a extensão .url, que abrem o Internet Explorer quando clicados e deixam o dispositivo exposto para ataques.
O navegador IE foi aposentado pela Microsoft em 2022, mas ainda pode ser acessado no Windows. Não é recomendável usá-lo por questões de segurança, visto que opções como Edge e Chrome apresentam mais mecanismos de proteção contra invasores.
Como o ataque funciona
O usuário abre um arquivo com a extensão .url e acessa o Internet Explorer no lugar do navegador padrão do sistema — isso é possível graças ao truque “mhtml”, usado por atacantes para combinar recursos externos numa página da web e acessar o IE.
Além disso, atacantes podem convencer a vítima a abrir o que seria um arquivo PDF, mas esconde um arquivo malicioso na extensão .hta. O processo, então, permite ataques de execução remota de código, que podem resultar na instalação de malwares e outras ameaças aos dados do usuário.
Instale a correção
A Microsoft publicou um patch com uma correção da vulnerabilidade no dia 9 de julho e você pode atualizar o sistema a partir do Windows Update:
- Abra a pesquisa do Windows;
- Procure por “Verificar se há atualizações”;
- Instale o novo patch.
Além disso, o CPR recomenda que os usuários não cliquem em arquivos com a extensão .url vindos de fontes desconhecidas ou não confiáveis.