Mantenha-se informado
Uma brecha de zero-day no Microsoft Office possibilita às pessoas maliciosas executarem código nocivo em sistemas protegidos através de um problema em um recurso de template do Word remoto.
Nao Sec, um vendedor japonês de segurança, publicou um alerta no Twitter durante o final de semana sobre o dia zero.
Beaumont declarou que o erro está aproveitando a funcionalidade de modelo remoto no Microsoft Word e não depende de uma rota de exploração baseada em macro típica, encontrada nos ataques de Office. De acordo com Nao Sec, uma prova de conceito do bug foi encontrada em um documento do Word e links para um endereço IP na Bielorrússia.
Não se sabe ao certo se os adversários aproveitaram o bug de dia zero. Existe um programa de prova de conceito que mostra que as versões do Office entre 2003 e as atuais são vulneráveis a ataques. Por outro lado, pesquisadores de segurança indicam que os usuários devem adotar medidas de Microsoft para reduzir a possibilidade de ataques, ao invés de recorrer a um patch.
Atividade de folha de pagamento
Os especialistas da Não Sec detalharam que o caminho para a infecção consiste em um modelo malicioso baixando um exploit através de um arquivo HTML de um servidor remoto.
Interesting maldoc was submitted from Belarus. It uses Word’s external link to load the HTML and then uses the “ms-msdt” scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022
O indivíduo malicioso originário da Bielorrússia foi descoberto. Ele empregou uma ligação externa do Microsoft Word para carregar o HTML e, posteriormente, usou o esquema “ms-msdt” para executar o PowerShell. http://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
Não tenho certeza de como me sentir.
O HTML carregado emprega o “esquema ms-msdt” URI MSProtocol para carregar e executar um pedaço de código PowerShell.
Ele emprega a ligação externa do Word para descarregar o HTML e depois aplica o modelo ‘ms-msdt’ para executar o script PowerShell”, de acordo com Não Sec.
O MSDT é a ferramenta de diagnóstico de suporte da Microsoft que reúne dados e relatórios para o suporte da Microsoft. Esta ferramenta de solução de problemas avaliará os dados obtidos e tentará identificar uma solução para as questões enfrentadas pelo usuário.
Beaumont descobriu que a brecha permite que o código seja rodado usando MSDT, mesmo que as macros estejam desativadas.
A visualização é iniciada, embora se o documento for alterado para o formato RTF, não é preciso abrir o documento (através da guia de visualização no Explorer) ou até mesmo usar Protegida View como explicado por Beaumont.
Beaumont corroborou que o exploit afeta as versões mais antigas do Microsoft Office 2013 e 2016, bem como a detecção de malware de execução perdida de endpoint. Investigações adicionais mostraram a vulnerabilidade também nas versões mais recentes do Microsoft Office.
Stevens, um especialista em segurança, descobriu o bug Follina em uma versão remota completa do Office 2021, enquanto o pesquisador de cibersegurança Hammond postou a prova de trabalho de Follina no Twitter.
Usuários da Microsoft que possuem licenças E5 podem identificar o exploit, ligando a pesquisa endpoint ao Defender. Além disso, Warren recomenda usar as regras de redução de área de ataque (ASR) para impedir que as aplicações de escritório criem processos maliciosos.
Esta notícia foi revisada no dia 31/05 pela manhã às 7:50, a fim de refletir que as versões mais recentes do Office são afetadas por esse problema.
Mande esse artigo para os seus amigos.
- Software maligno é um aplicativo que pode ser empregado para acessar informações confidenciais indevidamente.
- Vulnerabilidades de segurança são problemas relacionados à segurança que podem ser explorados por invasores para acessar o sistema sem autorização.
