Nova vulnerabilidade de software atinge os programas da Microsoft

Uma vulnerabilidade “Zero Day” em uma ferramenta do Windows que os hackers exploram por meio de documentos do Word envenenados foi descoberta no fim de semana.

Uma equipe independente de pesquisa de segurança cibernética conhecida como nao_sec anunciou em uma série de tweets que encontrou a vulnerabilidade em um documento malicioso do Word carregado no Virus Total, um site para analisar software suspeito, de um endereço IP na Bielorrússia.

 

Outro pesquisador, Kevin Beaumont , que apelidou a vulnerabilidade de “Folina”, explicou que o documento pernicioso usa o recurso de modelo remoto no Word para recuperar um arquivo HTML de um servidor web remoto. O arquivo usa o esquema de URI ms-msdt MSProtocol da Microsoft para carregar mais código em um sistema de destino, bem como executar alguns comandos do Powershell.

Para piorar a situação, o documento malicioso não precisa ser aberto para executar sua carga útil. Ele será executado se o documento for exibido na guia de visualização do Windows Explorer.

A Microsoft lista 41 versões de produtos diferentes afetadas pelo Folina, do Windows 7 ao Windows 11 e do Server 2008 ao Server 2022. Conhecidos e comprovados como afetados são Office, Office 2016, Office 2021 e Office 2022, independentemente da versão do Windows em que são correndo.

Comparação Log4Shell

“O Folina parece ser trivialmente explorável e muito poderoso, dada sua capacidade de contornar o Windows Defender”, disse Casey Ellis, CTO e fundador da Bugcrowd , que opera uma plataforma de recompensa de bugs de crowdsourcing, ao TechNewsWorld.

A virulência de Folina, no entanto, foi minimizada por Roger Grimes, evangelista de defesa orientado a dados da KnowBe4 , um provedor de treinamento de conscientização de segurança em Clearwater, Flórida. baixado ou clicado”, disse ele ao TechNewsWorld.

“Isso não é isso,” ele continuou. “A Microsoft terá um patch criado em alguns dias ou menos e se os usuários não tiverem desabilitado o patch automático padrão no Microsoft Office – ou se eles usarem o Office 365 – o patch será aplicado automaticamente e rapidamente. Essa exploração é algo para se preocupar, mas não vai dominar o mundo.”

Dirk Schrader, vice-presidente global da New Net Technologies , agora parte da Netwrix , fornecedora de software de segurança e conformidade de TI, em Naples, Flórida, comparou a Folina com a vulnerabilidade Log4Shell descoberta em dezembro de 2021 e que continua a atormentar milhares de empresas hoje.

O Log4Shell era sobre uma maneira descontrolada de executar uma função em uma função combinada com a capacidade de chamar recursos externos, explicou ele. “Este Zero Day, inicialmente chamado Folina, funciona de maneira semelhante”, disse ele ao TechNewsWorld.

“As ferramentas de segurança integradas do Windows provavelmente não detectarão essa atividade e os benchmarks de proteção padrão não cobrem isso”, disse ele. “Mecanismo defensivo embutido como o Defender ou restrições comuns para o uso de macros também não bloquearão esse ataque.”

“A exploração parece estar à solta há cerca de um mês, com várias modificações sobre o que deve ser executado no sistema de destino”, acrescentou.

Solução alternativa da Microsoft

A Microsoft reconheceu oficialmente a vulnerabilidade na segunda-feira (CVE-2022-30190), além de emitir soluções alternativas para mitigar a falha.

“Existe uma vulnerabilidade de execução remota de código quando [Microsoft Support Diagnostic Tool] é chamado usando o protocolo de URL de um aplicativo de chamada, como o Word”, explicou em um blog da empresa.

“Um invasor que explorar com sucesso essa vulnerabilidade pode executar código arbitrário com os privilégios do aplicativo de chamada”, continuou. “O invasor pode então instalar programas, visualizar, alterar ou excluir dados ou criar novas contas no contexto permitido pelos direitos do usuário.”

Como solução alternativa, a Microsoft recomendou desabilitar o protocolo de URL na ferramenta MSDT. Isso impedirá que solucionadores de problemas sejam lançados como links; no entanto, os solucionadores de problemas ainda podem ser acessados ​​usando o aplicativo Get Help e nas configurações do sistema.

A solução alternativa não deve ser muito inconveniente para os usuários, observou Chris Clements, vice-presidente de arquitetura de soluções da Cerberus Sentinel , uma empresa de consultoria de segurança cibernética e testes de penetração, em Scottsdale, Arizona.

“A ferramenta de suporte ainda funciona normalmente”, disse ele ao TechNewsWorld. “A única diferença é que os URLs que usam o link específico do protocolo não serão abertos automaticamente na ferramenta de suporte como fariam por padrão.”

“Pense nisso como clicar em um link http:// abre automaticamente seu navegador padrão”, continuou ele. “Os links msdt:/ são pré-associados por padrão com a ferramenta de suporte. A mitigação remove essa associação de abertura automática.”

Suporte mais longo Tix Times

Ray Steen, CSO da MainSpring , um provedor de serviços gerenciados de TI em Frederick, Maryland, concordou que a solução alternativa teria um impacto mínimo sobre os usuários. “O MSDT não é um solucionador de problemas geral ou uma ferramenta de suporte”, disse ele ao TechNewsWorld. “Ele é usado apenas para compartilhar logs com técnicos da Microsoft durante as sessões de suporte.”

“Os técnicos podem obter as mesmas informações por outros meios, incluindo a ferramenta System Diagnostics Report”, disse ele.

Além disso, ele observou: “Desativar o protocolo de URL apenas impede que o MSDT seja iniciado por meio de um link. Usuários e técnicos remotos ainda poderão abri-lo manualmente.”

No entanto, pode haver uma desvantagem potencial para as organizações desligarem o protocolo de URL, observou Carmit Yadin, CEO e fundador da DeviceTotal , uma empresa de gerenciamento de risco em Tel Aviv, Israel. “As organizações verão um aumento nos tempos de tíquete de suporte porque o MSDT tradicionalmente ajuda a diagnosticar problemas de desempenho, não apenas incidentes de segurança”, disse ele ao TechNewsWorld.

Vulnerabilidade será armada

Harish Akali, CTO da ColorTokens , fornecedora de soluções autônomas de segurança cibernética de confiança zero, em San Jose, Califórnia, sustentou que Folina destaca a importância da arquitetura de confiança zero e soluções baseadas nesse princípio.

“Tal abordagem só permitiria comunicação e processos de rede legítimos e aprovados em um computador”, disse ele ao TechNewsWorld. “O software de confiança zero também bloquearia o movimento lateral, uma tática importante que os hackers usam para acessar dados valiosos quando acessam um ativo de TI comprometido.”

Schrader observou que, nas próximas semanas, os invasores provavelmente verificarão maneiras de armar a vulnerabilidade. “Este Zero Day em uma campanha de spear phishing pode ser combinado com vetores de ataque recentemente descobertos e com técnicas de escalonamento de privilégios para elevar do contexto do usuário atual”, disse ele.

“Tendo em mente a possibilidade dessa tática combinada, os profissionais de TI devem garantir que os sistemas sejam monitorados de perto para detectar atividades de violação”, aconselhou.

“Além disso”, continuou ele, “as semelhanças com o Log4shell, que ganhou as manchetes em dezembro de 2021, são impressionantes. Da mesma forma, essa vulnerabilidade é sobre o uso da capacidade de um aplicativo de chamar remotamente um recurso usando o esquema de URI e não ter proteções em vigor.”

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *