segunda-feira, 13 de setembro de 2021

Brecha no Microsoft Office pode ser mais perigosa do que parecia

Uma brecha no Windows descoberta nesta semana, e ainda não corrigida pela  Microsoft , pode ser mais perigosa do que acreditarava a própria empresa e os analistas de segurança. De acordo com uma análise posterior da vulnerabilidade, que está em uma integração da suíte de aplicativos com o Internet Explorer, nem mesmo os sistemas de proteção automática ou desativação no carregamento de certos conteúdos podem impedir que um ataque mais sofisticado seja instalado.


A vulnerabilidade CVE-2021-40444 aparece como a versão mais perigosa de um golpe conhecido, utilizando e-mails fraudulentos para entregar documentos aos usuários - dentro, está uma exploração, que a partir de conteúdos carregados da internet, também permite uma execução remota de códigos maliciosos. Sistemas automatizados, normalmente, são capazes de reconhecer tais atributos, assim como os macros que são utilizados nas intrusão mais comuns, mas na visão de especialistas em segurança digital do instituto CERT / CC, da Universidade Carnegie Mellon, podem não ser eficazes.

Inspirado por  @buffaloverflow , testei o vetor de ataque RTF. E funciona muito bem.
ONDE ESTÁ O SEU MODO PROTEGIDO AGORA? pic.twitter.com/qf021VYO2R 

- Will Dormann (@wdormann)  9 de setembro de 2021

A segunda indicação da Microsoft para mitigar a vulnerabilidade é bloquear a execução de controles ActiveX , a partir das configurações do Office. Enquanto o código que vem sendo usado para os depende disso, o pesquisador em segurança Kevin Beaumont diz ser capaz de modificar a ação de forma que tais comandos não sejam mais utilizados - no processo, ele também simplificou o ataque, bastando um clique do usuário para que o golpe aconteça. 

Formato comum


Exemplo de e-mail que vem sendo usado por criminosos para aproveitamento brecha em sistema de carregamento de conteúdo online; vulnerabilidade segue sem correção e medidas de mitigação podem não ser tão eficaz (Imagem: Reprodução / Bleeping Computer)

A atenção a e-mails fraudulentos continua sendo a principal artimanha dos usuários para se defenderem de golpes desse tipo. Apesar dos novos métodos, os criminosos ainda precisam da engenharia social para que o ataque funcione, e em uma das empresas analisadas por especialistas, o medo de processos contra a empresa é usado como arma, na forma de uma notificação extrajudicial falsa, em nome de um suposto cliente que deseja acionar uma justiça.

Caso a brecha seja melhor explorada, é instalado um beacon do Cobalt Strike, um software que normalmente é usado para testes de segurança mas vem se tornando, também, arma de criminosos digitais. A partir daí, eles ganham acesso remoto à máquina e podem seguir na instalação de malwares, extração de dados e diferentes tipos de ataque.

A Microsoft segue investigando o caso e mantém o alerta aos usuários para que desativem os controles ActiveX e não abram documentos desconhecidos. Por outro lado, não existe previsão de lançamento de uma atualização que mitigue em breve.

                                                                                    FBTE:CANALTECH


0 comentários: