A Microsoft publicou uma solução para um problema de zero dia descobrido em abril, que tem sido explorado por cibercriminosos para alcançar organizações na Rússia e no Tibete, afirmaram os estudiosos.
A falha de execução de controle remoto (RCE), identificada como CVE-2022-3019, está ligada à Ferramenta Diagnóstica de Suporte da Microsoft (MSDT), que, de maneira irônica, recolhe dados sobre erros nos produtos da empresa e os encaminha para o Suporte da Microsoft.
Se explorado com êxito, os invasores podem instalar programas, observar, modificar ou apagar dados ou criar novas contas dentro dos limites dos privilégios do usuário, afirmou a companhia.
A Microsoft informou no Microsoft Security Response Center que há um risco de execução remota de código se o MSDT for acionado por meio de protocolo URL de um programa invocador, por exemplo, o Word. Se a exploração desta falha tiver êxito, o atacante poderá executar o código desejado com as permissões do aplicativo invocador.
A Microsoft proporcionou uma solução aproximadamente seis semanas após que o Shadow Chaser Group notou a vulnerabilidade em 12 de abril a partir de agosto de 2020. Esta foi relatada à Microsoft por The Record da empresa de pesquisa Recorded Future no dia 21 de abril. Atacantes pareciam estar alvejando usuários russos.
Um profissional de Inteligência de Ameaças da Malwarebytes também constatou a falha no mês de abril, contudo sem conseguir descobrir a sua causa totalmente, informou a empresa em um post no Twitter durante o final de semana, retuitando a mensagem original sobre a fragilidade, que havia sido publicada em 12 de abril por @h2jazi.
Quando a falha foi relatada, a Microsoft não a reconheceu como uma preocupação. Porém, agora é evidente que a empresa estava equivocada, e a vulnerabilidade voltou a comandar a atenção dos pesquisadores da empresa Nao Sec, uma companhia de segurança japonesa. Ela tweetou um alerta sobre o tema no último fim de semana, indicando que estava sendo usada para observar usuários na Bielorússia.
Durante o final de semana, o especialista em segurança Kevin Beaumont examinou a falha “Follina” e descreveu as referências de códigos de dia zero à área de Follina no código de Itália – 0438.
Actualmente eu desempenho o cargo de professor de português.
Embora nenhuma correção tenha sido liberada para corrigir a falha, a Microsoft está sugerindo que os usuários afetados desativem a URL do MSDT como medida de contenção, embora temporária. Assim, isto “impedirá que os solucionadores de problemas sejam invocados como links, incluindo aqueles distribuídos em todo o sistema operacional”, a empresa explicou em sua nota.
Para realizar esta tarefa, os usuários devem proceder da seguinte forma: Efetuar “Executar como Administrador”; Salve a chave de registro executando o comando “reg export HKEY_CLASSES_ROOT\ms-msdt filename”; e execute o comando “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.
A empresa comunicou que os solucionadores de problemas ainda podem ser acedidos através do aplicativo Get Help e também nas definições do sistema, além de outros meios.
Além disso, se o aplicativo de chamada for da Microsoft Office, ele abrirá o documento da internet no Protected View e no Application Guard for Office, os quais, de acordo com a Microsoft, impossibilitam o ataque atual. Apesar disso, Beaumont refutou essa garantia em sua investigação do problema.
A Microsoft tem o projeto de aprimorar o CVE-2022-3019 adicionando dados extras, embora não tenha sido especificado quando isso será feito, segundo a assessoria.
Ameaça importante
Apesar disso, Beaumont e seus colegas pesquisadores concluíram que a falha inexplorada apresenta um grande perigo, tendo em vista vários motivos.
Um grande número de usuários é afetado por ele, pois está presente em todas as versões de suporte de Windows e pode ser explorado nas versões do Microsoft Office desde 2013 até o Office 2021, Office 365 e Office ProPlus.
Qualquer organização que lida com conteúdo, arquivos e, particularmente, documentos do Office, que são basicamente todos no planeta, está agora exposta ao risco, afirmou Aviv Grafi, CTO e fundador da Votiro, empresa de segurança, num e-mail para o Threatpost.
Outra motivo pelo qual a falha é um grande desafio é a sua execução sem interferência dos usuários finais, tanto Beaumont quanto Grafi explicaram. Quando o HTML é transferido do programa de chamada, um esquema MSDT é usado para realizar um script PowerShell para efetuar uma carga maléfica, segundo Grafi.
Uma vez que o defeito está explorando a função de modelo remoto do Microsoft Word, não depende de uma rota de exploração típica baseada em macro, que são comuns em ataques relacionados ao Office, explicou Beaumont.
A dificuldade em evitar esta vulnerabilidade está no fato de que o usuário final não é obrigado a ativar macros para que o código seja executado, transformando-se assim em um método para execução remota de código sem qualquer clique, afirmou Grafi, referindo-se ao MSDT.
O sistema de segurança sofreu uma invasão por parte dos hackers.
Claire Tills, um engenheiro de pesquisa sênior da Tenable, empresa de segurança, comparou o recurso apresentado ao erro MSHTML do ano passado, identificado como CVE-2021-40444, que foi explorado por invasores, incluindo o grupo de cibercriminosos Ryuk.
Os pesquisadores apontaram que há semelhanças entre CVE-2022-30190 e CVE-2021-40444, o que levantou a hipótese de que outros manipuladores de protocolo também poderiam ser afetados. Em um e-mail para o Threatpost, espera-se que haja mais desenvolvimentos e tentativas de exploração deste assunto.
Os criadores de ameaças já estão explorando a fragilidade. Segundo o Proofpoint Threat Insight, no segundo dia da semana, os criadores de ameaças estavam alvo de organizações no Tibete e disfarçando-se de “Mesa de Empoderamento das Mulheres” da Administração Central do Tibete.
Grafi afirmou que a solução da Microsoft atualmente disponível apresenta alguns problemas e não será de muita ajuda a longo prazo, principalmente com o bug sob ataque. A solução, de acordo com Grafi, é “desfavorável a administradores” pois exige “alterações nos registros dos endpoints dos clientes”.
Reformule: Propague essa notícia.
- Educadamente, seria muito apreciado se você pudesse me conceder um favor.
- Vulnerabilidades de segurança são brechas de segurança que podem ser aproveitadas por invasores para danificar o sistema.
