Follina - Como se proteger dessa falha Zero Day no Microsoft Office?

Em 30 de maio, pesquisadores revelaram uma vulnerabilidade Zero Day no Microsoft Office que permite a Execução Remota de Código (RCE) na máquina da vítima.


A vulnerabilidade, apelidada de “Follina”, utiliza um documento Word que aciona um recurso para recuperar um arquivo HTML de um servidor e, usando o método URI "ms-msdt://", consegue executar um PowerShell.



VEJA TAMBÉM: Arquitetura de Segurança Zero Trust | Benefícios, Tecnologias e Implementação


Quais versões do Office estão vulneráveis?


O Office 2013, 2016, 2019, 2021 e algumas versões incluídas na licença do Microsoft 365 estão sujeitos a essa vulnerabilidade no Windows 10 e no Windows 11.


Qual é o risco na Execução Remota de Código (RCE)?


Os ataques de Execução Remota de Código (RCE) permitem que um invasor instale código malicioso em um computador. O impacto de uma vulnerabilidade RCE pode variar desde infecção por malware até obtenção de controle total sobre a máquina comprometida.


Como prevenir o ataque?


A Microsoft publicou orientações sobre soluções alternativas para mitigar a vulnerabilidade Zero Day. Atualmente, desabilitar o protocolo de URL MSDT parece ser a opção mais fácil. No entanto, ainda não está claro qual o impacto de desabilitar esse protocolo.


No entanto, se você estiver usando o OPSWAT MetaDefender com a tecnologia Deep CDR (Content Disarm and Reconstruction), não precisa se preocupar. Sua rede e seus usuários estão protegidos contra ataques, pois todo o conteúdo ativo oculto nos arquivos maliciosos é desabilitado pelo Deep CDR antes de chegar aos usuários.


Neutralize o arquivo tóxico do Microsoft Word


Uma vez que o arquivo .docx com URL malicioso entra na rede da sua organização por meio de e-mails ou uploads de arquivos, o MetaDefender o verifica com vários mecanismos anti-malware usando o OPSWAT MetaScan e examina o arquivo em busca de possíveis ameaças, como objetos OLE, hiperlinks, scripts e etc. De acordo com o resultado de processamento de arquivos, um objeto OLE foi removido e o conteúdo XML foi higienizado.



Após o processo, o documento .docx não contém mais o link HTML malicioso, pois foi substituído por um link "em branco". Como resultado, mesmo que seus usuários internos abram o arquivo, nenhum malware é carregado e executado.



Verificando o arquivo limpo liberado após o processo com o OPSWAT Metascan e o OPSWAT Sandbox, podemos ver que o documento está livre de riscos.



Desative o JavaScript do arquivo HTML


Caso você configure o mecanismo Deep CDR para aceitar URLs em arquivos, você ainda estará completamente protegido, uma vez que ele remove o JavaScript malicioso no arquivo HTML carregado porque é considerado uma ameaça potencial. Sem o JavaScript, o código do PowerShell não pode ser baixado e executado. Assim, os usuários podem abrir e usar o arquivo reconstruído sem ameaças com total usabilidade.



VEJA TAMBÉM: Segurança Zero Trust: 7 Princípios Fundamentais


Não confie na detecção


Esse novo método de exploração, apelidado de Follina, é difícil de detectar porque o malware é carregado a partir de um modelo remoto, portanto, o arquivo .docx pode contornar a defesa da rede, pois não contém código malicioso. Da mesma forma, os cibercriminosos continuam explorando ativamente as vulnerabilidades e abusando de vários vetores de ataque, aproveitando os programas e recursos do Microsoft Office, como macros, links externos, objetos OLE e assim por diante, para distribuir ou acionar malwares. Para uma implementação Zero Trust verdadeira, você não pode confiar em um modelo de segurança de detecção para evitar ataques Zero Day. As organizações precisam de uma solução abrangente de prevenção para protegê-las de ameaças conhecidas e desconhecidas.


Fonte: OPSWAT

 

Conte com a International IT e a OPSWAT para implementar uma metodologia Zero Trust e proteger a infraestrutura crítica da sua empresa.

Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.

126 visualizações

Posts recentes

Ver tudo

Newsletter

Confira notícias, informações e tendências do setor de tecnologia da informação. 

Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos