Uma brecha no Windows descoberta nesta semana, e ainda não corrigida pela Microsoft , pode ser mais perigosa do que acreditarava a própria empresa e os analistas de segurança. De acordo com uma análise posterior da vulnerabilidade, que está em uma integração da suíte de aplicativos com o Internet Explorer, nem mesmo os sistemas de proteção automática ou desativação no carregamento de certos conteúdos podem impedir que um ataque mais sofisticado seja instalado.
A vulnerabilidade CVE-2021-40444 aparece como a versão mais perigosa de um golpe conhecido, utilizando e-mails fraudulentos para entregar documentos aos usuários - dentro, está uma exploração, que a partir de conteúdos carregados da internet, também permite uma execução remota de códigos maliciosos. Sistemas automatizados, normalmente, são capazes de reconhecer tais atributos, assim como os macros que são utilizados nas intrusão mais comuns, mas na visão de especialistas em segurança digital do instituto CERT / CC, da Universidade Carnegie Mellon, podem não ser eficazes.
Inspirado por @buffaloverflow , testei o vetor de ataque RTF. E funciona muito bem.
ONDE ESTÁ O SEU MODO PROTEGIDO AGORA? pic.twitter.com/qf021VYO2R
- Will Dormann (@wdormann) 9 de setembro de 2021
Para ganhar pontos extras, acabei de modificá-lo para não precisar de um novo controle ActiveX, o que é melhor do que a solução alternativa do MS. Demorou cerca de um minuto. 🤦♀️ https://t.co/oaVfJfzZcb
- Kevin Beaumont (@GossiTheDog) 8 de setembro de 2021
A segunda indicação da Microsoft para mitigar a vulnerabilidade é bloquear a execução de controles ActiveX , a partir das configurações do Office. Enquanto o código que vem sendo usado para os depende disso, o pesquisador em segurança Kevin Beaumont diz ser capaz de modificar a ação de forma que tais comandos não sejam mais utilizados - no processo, ele também simplificou o ataque, bastando um clique do usuário para que o golpe aconteça.
Formato comum
A atenção a e-mails fraudulentos continua sendo a principal artimanha dos usuários para se defenderem de golpes desse tipo. Apesar dos novos métodos, os criminosos ainda precisam da engenharia social para que o ataque funcione, e em uma das empresas analisadas por especialistas, o medo de processos contra a empresa é usado como arma, na forma de uma notificação extrajudicial falsa, em nome de um suposto cliente que deseja acionar uma justiça.
Caso a brecha seja melhor explorada, é instalado um beacon do Cobalt Strike, um software que normalmente é usado para testes de segurança mas vem se tornando, também, arma de criminosos digitais. A partir daí, eles ganham acesso remoto à máquina e podem seguir na instalação de malwares, extração de dados e diferentes tipos de ataque.
A Microsoft segue investigando o caso e mantém o alerta aos usuários para que desativem os controles ActiveX e não abram documentos desconhecidos. Por outro lado, não existe previsão de lançamento de uma atualização que mitigue em breve.
FBTE:CANALTECH
Nenhum comentário:
Postar um comentário