Zero Day: Microsoft Office usado em ataques para executar o PowerShell
- International IT
- 30 de mai. de 2022
- 2 min de leitura
Atualizado: 4 de dez. de 2023
Pesquisadores de segurança cibernética descobriram uma falha Zero Day no Microsoft Office que pode ser utilizada para execução arbitrária de código nos sistemas Windows afetados.
A vulnerabilidade apareceu depois que uma equipe independente de pesquisa de cibersegurança conhecida como nao_sec descobriu um documento do Word ("05-2022-0438.doc") que foi hospedado no site VirusTotal através de um endereço IP na Bielorrússia. Os pesquisadores postaram uma série de tweets na semana passada, em que dizem:
O maldoc usa o link externo do Word para carregar o HTML e, em seguida, usa o esquema 'ms-msdt' para executar o código do PowerShell.
De acordo com o pesquisador de segurança Kevin Beaumont, que apelidou a falha de "Follina", o maldoc aproveita o recurso de modelo remoto do Word para buscar um arquivo HTML de um servidor, que então usa o esquema de URI "ms-msdt://" para executar a carga maliciosa.
A vulnerabilidade recebeu esse nome porque a amostra maliciosa faz referência a 0438, que é o código de área de Follina, um município da cidade italiana de Treviso.
MSDT é a abreviação de Microsoft Support Diagnostics Tool, um utilitário usado para solucionar problemas e coletar dados de diagnóstico para análise por profissionais de suporte para resolver um problema.
O pesquisador Beaumont, acrescenta:
Há muita coisa acontecendo aqui, mas o primeiro problema é que o Microsoft Word está executando o código via MSDT (uma ferramenta de suporte), mesmo que as macros estejam desabilitadas.
O Protected View entra em ação, embora se você alterar o documento para o formato RTF, ele é executado sem abrir o documento (através da guia de visualização no Explorer), sem o Protected View.
Em uma análise independente, a empresa de segurança cibernética Huntress Labs detalhou o fluxo de ataque, observando o arquivo HTML ("RDF842l.html") que aciona a exploração originada de um domínio agora inacessível chamado "xmlformats[.]com". John Hammond, da Huntress Labs, afirma:
Um arquivo Rich Text Format (.RTF) pode desencadear a invocação deste exploit apenas com o Painel de Visualização no Windows Explorer.
Muito parecido com o CVE-2021-40444, isso estende a gravidade dessa ameaça não apenas com um 'clique único' para explorar, mas potencialmente com um gatilho de 'clique zero'.
Várias versões do Microsoft Office, incluindo Office, Office 2016 e Office 2021, são afetadas, embora se espere que outras versões também sejam vulneráveis.
Além disso, Richard Warren, do NCC Group, conseguiu demonstrar uma exploração no Office Professional Pro com patches de abril de 2022 executados em uma máquina Windows 11 atualizada com o painel de visualização ativado.
Por fim, Beaumon conclui:
A Microsoft precisará corrigir a vulnerabilidade em todas as diferentes ofertas de produtos, e os fornecedores de segurança precisarão de detecção e bloqueio robustos.
Fontes: The Hacker News e Bleeping Computer
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
