Falha em sistema de busca no Windows é arma de ataques usando Word

Uma vulnerabilidade no sistema de buscas do Windows é a nova arma de criminosos em ataques que usam documentos fraudulentos do Word, a partir de outra brecha divulgada no início da semana. A combinação de recursos serve para que os bandidos induzam a instalação malwares hospedados remotamente, a partir dos arquivos do Office.

• Falhas de dia zero do Windows 11 são demonstradas em hackathon
• Pesquisa: 78% das empresas no Brasil pagariam resgate em caso de novo ransomware

Trata-se de mais um abuso da Ferramenta de Diagnóstico e Suporte do Windows, chamada de MSDT na sigla em inglês. A vulnerabilidade revelada no início desta semana já vinha sendo explorada a partir de documentos do Word para execução remota de códigos, e agora, surge como mais uma alternativa de ataque, levando os usuários a executarem pragas que chegam disfarçadas de atualizações de sistema ou patches de correção para o próprio Office.

A partir da brecha, aplicações e links em HTML podem realizar buscas customizadas em um dispositivo. Normalmente, é um recurso que serve para rodar sistemas de compartilhamento, redes e outros serviços remotos dentro do Windows, e que já foi usado antes em ataques contra usuários, com navegadores como o Edge e o próprio Explorer exibindo alertas de perigo. A partir do Word, entretanto, tais alertas não são mostrados, com o protocolo sendo abusado de forma direta.

Uma prova de conceito foi exibida pelo pesquisador em segurança Matthew Hickey, cofundador da consultoria em segurança digital Hacker House. Nela, um documento do Word inicia um comando de busca automaticamente ao ser aberto, exibindo uma pasta com nome fraudado e o malware, disfarçado de update do Windows ou do Office. Diante disso, um usuário pode acabar instalando uma praga de forma direta, sem que softwares de segurança ou o próprio sistema operacional indiquem o perigo.

O temor, de acordo com o especialista, é quanto a ataques de phishing direcionados, principalmente contra sistemas industriais ou corporativos. Ajuda, ainda, o fato de a brecha ter sido reconhecida pela Microsoft somente nesta semana, enquanto uma atualização direta para o sistema operacional ainda não está disponível; os administradores de sistema têm apenas guias de mitigação para lidar com o problema.

Brecha no Windows e Word já está sendo usada em ataques

Enquanto a própria revelação da falha veio após a descoberta de documentos maliciosos, sua ampla divulgação também deve servir para que empresas e usuários sejam vítimas, na medida em que bandidos buscam sistemas desprotegidos para explorar antes da aplicação de correções. A CVE-2922-30190, como foi chamada, atinge as versões do Office de 2013 a 2021, incluindo também a Pro Plus, enquanto o Windows 7, 10 e 11 são vulneráveis à exploração no sistema de buscas.

As vulnerabilidades já estão sendo chamadas de ProtocolNightmare, em referência aos problemas enfrentados por protocolos de impressão em meados do ano passado, e seguem tendo novas formas de exploração encontradas por especialistas. O maior perigo, claro, é quanto à falta de indicadores e até mesmo necessidade de interação por parte dos usuários, aumentando significativamente o escopo da vulnerabilidade.

A Microsoft recomenda a aplicação de mitigações, a partir do Prompt de Comando, bem como a desativação de prévias de arquivos do Office. Além disso, a companhia pede a atenção de sempre quanto a documentos recebidos por e-mail e outros métodos, com os arquivos devendo ser abertos somente quando vierem de fontes reconhecidas e certificadas. Por mais que os golpes sejam sofisticados, o vetor inicial de entrada segue como um velho conhecido, o que faz com que medidas igualmente comuns também sirvam como uma boa camada de proteção.

Fonte: Bleeping Computer