International IT
10 de jun de 20223 min
Atualizado: 4 de dez de 2023
Em 30 de maio, pesquisadores revelaram uma vulnerabilidade Zero Day no Microsoft Office que permite a Execução Remota de Código (RCE) na máquina da vítima.
A vulnerabilidade, apelidada de “Follina”, utiliza um documento Word que aciona um recurso para recuperar um arquivo HTML de um servidor e, usando o método URI "ms-msdt://", consegue executar um PowerShell.
O Office 2013, 2016, 2019, 2021 e algumas versões incluídas na licença do Microsoft 365 estão sujeitos a essa vulnerabilidade no Windows 10 e no Windows 11.
Os ataques de Execução Remota de Código (RCE) permitem que um invasor instale código malicioso em um computador. O impacto de uma vulnerabilidade RCE pode variar desde infecção por malware até obtenção de controle total sobre a máquina comprometida.
A Microsoft publicou orientações sobre soluções alternativas para mitigar a vulnerabilidade Zero Day. Atualmente, desabilitar o protocolo de URL MSDT parece ser a opção mais fácil. No entanto, ainda não está claro qual o impacto de desabilitar esse protocolo.
No entanto, se você estiver usando o OPSWAT MetaDefender com a tecnologia Deep CDR (Content Disarm and Reconstruction), não precisa se preocupar. Sua rede e seus usuários estão protegidos contra ataques, pois todo o conteúdo ativo oculto nos arquivos maliciosos é desabilitado pelo Deep CDR antes de chegar aos usuários.
Uma vez que o arquivo .docx com URL malicioso entra na rede da sua organização por meio de e-mails ou uploads de arquivos, o MetaDefender o verifica com vários mecanismos anti-malware usando o OPSWAT MetaScan e examina o arquivo em busca de possíveis ameaças, como objetos OLE, hiperlinks, scripts e etc. De acordo com o resultado de processamento de arquivos, um objeto OLE foi removido e o conteúdo XML foi higienizado.
Após o processo, o documento .docx não contém mais o link HTML malicioso, pois foi substituído por um link "em branco". Como resultado, mesmo que seus usuários internos abram o arquivo, nenhum malware é carregado e executado.
Verificando o arquivo limpo liberado após o processo com o OPSWAT Metascan e o OPSWAT Sandbox, podemos ver que o documento está livre de riscos.
Caso você configure o mecanismo Deep CDR para aceitar URLs em arquivos, você ainda estará completamente protegido, uma vez que ele remove o JavaScript malicioso no arquivo HTML carregado porque é considerado uma ameaça potencial. Sem o JavaScript, o código do PowerShell não pode ser baixado e executado. Assim, os usuários podem abrir e usar o arquivo reconstruído sem ameaças com total usabilidade.
VEJA TAMBÉM: Segurança Zero Trust: 7 Princípios Fundamentais
Esse novo método de exploração, apelidado de Follina, é difícil de detectar porque o malware é carregado a partir de um modelo remoto, portanto, o arquivo .docx pode contornar a defesa da rede, pois não contém código malicioso. Da mesma forma, os cibercriminosos continuam explorando ativamente as vulnerabilidades e abusando de vários vetores de ataque, aproveitando os programas e recursos do Microsoft Office, como macros, links externos, objetos OLE e assim por diante, para distribuir ou acionar malwares. Para uma implementação Zero Trust verdadeira, você não pode confiar em um modelo de segurança de detecção para evitar ataques Zero Day. As organizações precisam de uma solução abrangente de prevenção para protegê-las de ameaças conhecidas e desconhecidas.
Fonte: OPSWAT
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.