Microsoft alerta para novo ataque de Dia Zero que explora vulnerabilidade do Office 365

A Microsoft alertou os usuários do Windows 10 sobre uma nova falha de Dia Zero (Zero Day) que está sendo ativamente explorada para sequestrar sistemas utilizando documentos do Office.



VEJA TAMBÉM: Microsoft e Google: US $ 30 bilhões em cibersegurança nos próximos 5 anos


A vulnerabilidade de execução remota de código, rastreada como CVE-2021-40444 (pontuação CVSS: 8.8), está no MSHTML (também conhecido como Trident), um mecanismo de renderização utilizado no Internet Explorer e também no Office para processar conteúdo web dentro de documentos do Word, Excel e PowerPoint. Sobre essa questão, a empresa disse:


A Microsoft está investigando relatórios de uma vulnerabilidade de execução remota de código no MSHTML que afeta o Microsoft Windows. A Microsoft está ciente de ataques direcionados que tentam explorar esta vulnerabilidade usando documentos do Microsoft Office especialmente criados.
Um invasor pode criar um controle ActiveX malicioso para ser usado por um documento do Microsoft Office que hospeda o mecanismo de renderização do navegador. O invasor teria então que convencer o usuário a abrir o documento malicioso. Os usuários cujas contas são configuradas com menos direitos de usuário no sistema podem ser menos afetados do que os usuários que operam com direitos de usuário administrativo.