0
0
Os atacantes estão explorando ativamente uma falha não reparada e fácil de explorar na Ferramenta de Diagnóstico de Suporte microsoft (MSDT) no Windows que permite a execução remota de códigos a partir de documentos do Office mesmo quando as macros são desativadas.
A vulnerabilidade existe em todas as versões do Windows atualmente suportadas e pode ser explorada através das versões do Microsoft Office 2013 através do Office 2019, Office 2021, Office 365 e Office ProPlus, de acordo com pesquisadores de segurança que analisaram o problema.
Os atacantes podem explorar a falha do dia zero — apelidada de “Follina” — para executar remotamente código arbitrário em sistemas Windows. A Microsoft alertou para o problema que dá aos invasores uma maneira de “instalar programas, visualizar, alterar ou excluir dados ou criar novas contas no contexto permitido pelos direitos do usuário”. Pesquisadores relataram observar ataques explorando a falha na Índia e na Rússia há pelo menos um mês.
Reconhecimento atrasado?
A Microsoft atribuiu na segunda-feira a falha um identificador CVE — CVE-2022-30190 — depois de aparentemente descrevê-la inicialmente como um problema de não segurança em abril, quando crazyman, um pesquisador de segurança do grupo de caça a ameaças APT Shadow Chaser Group, relatou pela primeira vez observar uma exploração pública da vulnerabilidade. Embora a assessoria da empresa descreveu a falha como sendo publicamente conhecida e ativamente explorada, ela não descreveu o problema como uma ameaça de zero-day.
Em um post no blog em 30 de maio, a Microsoft recomendou que as organizações desabilitassem o protocolo de URL DO MSDT para mitigar o problema e disse que forneceria mais atualizações mais tarde sem especificar quando. A Microsoft disse que o recurso Exibição Protegida no Microsoft Office e o Application Guard for Office evitariam ataques que tentam explorar a falha.
A Microsoft não respondeu a uma consulta do Dark Reading sobre se havia descrito inicialmente o problema como um problema de não segurança ou quando poderia ter aprendido pela primeira vez sobre a falha. Em vez disso, um porta-voz apontou o aviso de segunda-feira da Microsoft como o único comentário que a empresa tem sobre o assunto no momento.
O MSDT é uma ferramenta de suporte ao Windows que coleta e envia dados do sistema de um usuário para a equipe de suporte da Microsoft para que eles possam analisar e diagnosticar problemas que um usuário possa estar encontrando em seu sistema. De acordo com a Microsoft, a vulnerabilidade é acionada quando um aplicativo do Office como o Word chama o MSDT usando o protocolo URL. “Um invasor que explora com sucesso essa vulnerabilidade pode executar código arbitrário com os privilégios do aplicativo de chamada”, observou a empresa.
Múltiplas façanhas na Natureza
Embora o pesquisador de segurança do Shadow Chaser Group tenha notificado pela primeira vez o Microsoft Security Response Center sobre o bug há mais de um mês, o vuln só recebeu ampla atenção no fim de semana quando um pesquisador viu um documento malicioso do Word tentando explorar o problema. O pesquisador de segurança Kevin Beaumont analisou o documento e descobriu que ele estava usando o recurso de modelo remoto no Word para recuperar um arquivo HTML de um servidor Web remoto. O arquivo recuperado, por sua vez, usou o protocolo de URL MS-MSDT para carregar o código para executar um script PowerShell. Beaumont descobriu que o documento estava executando código mesmo com macros desativadas. O pesquisador de segurança encontrou pelo menos dois outros documentos maliciosos do Word na selva tentando explorar Follina desde abril.
Significativamente, Beaumont e outros pesquisadores descobriram que a técnica de ataque permitiu aos atores de ameaças uma maneira de contornar o mecanismo “Protected View” no Office que alerta os usuários sobre o conteúdo baixado da Internet e requer um clique adicional deles para abrir. De acordo com o Malwarebytes, o aviso pode ser ignorado simplesmente alterando o documento para um arquivo RTF (Rich Text Format, formato de texto rico). Ao fazer isso, o código pode ser executado sem que o usuário precise abrir o documento através da guia de visualização no Explorer, disse o Malwarebytes.
“Os arquivos RTF são um formato especial que permite que documentos sejam visualizados dentro do Windows Explorer”, diz Jerome Segura, diretor sênior de inteligência de ameaças do Malwarebytes. “Quando isso acontecer, o Explorer chamará o processo msdt que está sendo explorado sem qualquer aviso ou aviso”, diz ele. Na verdade, o painel De visualização é um recurso arriscado porque permite ataques com clique zero, diz Segura. “Recomendamos que os usuários o desabilitem dentro do Explorer, bem como clientes de e-mail como o Outlook.”
Impacto potencialmente generalizado
Johannes Ullrich, reitor de pesquisa do Instituto SANS, diz que, por si só, a vulnerabilidade no MSDT não seria grande coisa. Mas o fato de que pode ser acionado via Microsoft Office é preocupante. Tudo o que um usuário precisa fazer é abrir um documento do Word especialmente elaborado ou, em alguns casos, apenas visualizá-lo para permitir a execução remota de código, diz ele. Isso prepara o cenário para compromissos potencialmente generalizados, especialmente considerando que inúmeras façanhas estão disponíveis na natureza há um mês.
“Existem vários scripts, exemplos e tutoriais explicando como explorar essa vulnerabilidade. Aplicar essas técnicas é fácil, diz Ullrich. Ele aponta para um documento malicioso para explorar Follina que a SANS descobriu recentemente, que pretendia conter cotações para preços de telefones celulares de um revendedor. A façanha funcionou, embora pareça ter sido compilada por um ator de ameaça relativamente não qualificado. “Parece ter sido criado por um invasor novato, pois nem remove alguns dos comentários adicionados ao documento malicioso”, diz Ullrich.
Ele recomenda que as organizações sigam imediatamente a orientação da Microsoft e desabilitem o protocolo de URL DO MSDT. “Isso vai quebrar o vínculo entre o Office e a ferramenta de diagnóstico”, diz ele. Embora a vulnerabilidade no MSDT ainda esteja presente, ela não pode mais ser acionada ao abrir um documento malicioso, diz ele. A SANS recomenda que as organizações desabilitam o Painel de Visualização no Windows Explorer.
Dray Agha, analista da ThreatOps na Huntress, que fez um mergulho profundo na vulnerabilidade, diz que os atacantes podem usar Follina para escalar privilégios e viajar por ambientes para criar estragos. “Os hackers podem passar de um usuário de baixo privilégio para um administrador extremamente facilmente”, diz Agha. “A vulnerabilidade pode ser facilmente desencadeada pelos usuários simplesmente optando por “visualizar” um documento especificamente criado e mal-fornecido. É simples assim.”
FONTE: DARK READING