Em 30 de maio, pesquisadores revelaram uma vulnerabilidade Zero Day no Microsoft Office que permite a Execução Remota de Código (RCE) na máquina da vítima.
A vulnerabilidade, apelidada de “Follina”, utiliza um documento Word que aciona um recurso para recuperar um arquivo HTML de um servidor e, usando o método URI "ms-msdt://", consegue executar um PowerShell.
Quais versões do Office estão vulneráveis?
O Office 2013, 2016, 2019, 2021 e algumas versões incluídas na licença do Microsoft 365 estão sujeitos a essa vulnerabilidade no Windows 10 e no Windows 11.
Qual é o risco na Execução Remota de Código (RCE)?
Os ataques de Execução Remota de Código (RCE) permitem que um invasor instale código malicioso em um computador. O impacto de uma vulnerabilidade RCE pode variar desde infecção por malware até obtenção de controle total sobre a máquina comprometida.
Como prevenir o ataque?
A Microsoft publicou orientações sobre soluções alternativas para mitigar a vulnerabilidade Zero Day. Atualmente, desabilitar o protocolo de URL MSDT parece ser a opção mais fácil. No entanto, ainda não está claro qual o impacto de desabilitar esse protocolo.
No entanto, se você estiver usando o OPSWAT MetaDefender com a tecnologia Deep CDR (Content Disarm and Reconstruction), não precisa se preocupar. Sua rede e seus usuários estão protegidos contra ataques, pois todo o conteúdo ativo oculto nos arquivos maliciosos é desabilitado pelo Deep CDR antes de chegar aos usuários.
Neutralize o arquivo tóxico do Microsoft Word
Uma vez que o arquivo .docx com URL malicioso entra na rede da sua organização por meio de e-mails ou uploads de arquivos, o MetaDefender o verifica com vários mecanismos anti-malware usando o OPSWAT MetaScan e examina o arquivo em busca de possíveis ameaças, como objetos OLE, hiperlinks, scripts e etc. De acordo com o resultado de processamento de arquivos, um objeto OLE foi removido e o conteúdo XML foi higienizado.
Após o processo, o documento .docx não contém mais o link HTML malicioso, pois foi substituído por um link "em branco". Como resultado, mesmo que seus usuários internos abram o arquivo, nenhum malware é carregado e executado.
Verificando o arquivo limpo liberado após o processo com o OPSWAT Metascan e o OPSWAT Sandbox, podemos ver que o documento está livre de riscos.
Desative o JavaScript do arquivo HTML
Caso você configure o mecanismo Deep CDR para aceitar URLs em arquivos, você ainda estará completamente protegido, uma vez que ele remove o JavaScript malicioso no arquivo HTML carregado porque é considerado uma ameaça potencial. Sem o JavaScript, o código do PowerShell não pode ser baixado e executado. Assim, os usuários podem abrir e usar o arquivo reconstruído sem ameaças com total usabilidade.
VEJA TAMBÉM: Segurança Zero Trust: 7 Princípios Fundamentais
Não confie na detecção
Esse novo método de exploração, apelidado de Follina, é difícil de detectar porque o malware é carregado a partir de um modelo remoto, portanto, o arquivo .docx pode contornar a defesa da rede, pois não contém código malicioso. Da mesma forma, os cibercriminosos continuam explorando ativamente as vulnerabilidades e abusando de vários vetores de ataque, aproveitando os programas e recursos do Microsoft Office, como macros, links externos, objetos OLE e assim por diante, para distribuir ou acionar malwares. Para uma implementação Zero Trust verdadeira, você não pode confiar em um modelo de segurança de detecção para evitar ataques Zero Day. As organizações precisam de uma solução abrangente de prevenção para protegê-las de ameaças conhecidas e desconhecidas.
Fonte: OPSWAT
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
