0
0
Uma campanha de phishing recentemente sinalizada com o objetivo de entregar o Agent Tesla RAT a usuários desavisados aproveita vulnerabilidades antigas do Microsoft Office que permitem a execução remota de código.
“Apesar das correções para CVE-2017-11882 / CVE-2018-0802 terem sido lançadas pela Microsoft em novembro de 2017 e janeiro de 2018, esta vulnerabilidade continua popular entre os agentes de ameaças, sugerindo que ainda existem dispositivos não corrigidos em circulação, mesmo depois de mais de cinco anos”, diz o pesquisador da Fortinet, Xiaopeng Zhang.
“Estamos observando e mitigando 3.000 ataques por dia, no nível IPS. O número de dispositivos vulneráveis observados é de cerca de 1.300 por dia.”
Patches estão disponíveis, mas…
Na segunda-feira, a Qualys publicou sua lista das 20 principais vulnerabilidades exploradas por malware, agentes de ameaças e gangues de ransomware. Alguns são muito antigos e outros mais recentes, mas os mais recentes datam de dois anos atrás.
CVE-2017-11882 está no topo da lista, CVE-2018-0802 é o número 16.
Outras vulnerabilidades na lista que afetam versões específicas do Microsoft Office e Wordpad são CVE-2017-0199 e CVE-2017-8570, e as vulnerabilidades listadas em outras ofertas da Microsoft incluem:
- CVE-2012-0158 (nos controles comuns do Windows)
- CVE-2020-1472 (também conhecido como Zerologon , no protocolo remoto Netlogon da Microsoft)
- CVE-2017-0144, CVE-2017-0145, CVE-2017-0143 (no protocolo SMBv1 da Microsoft)
- CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 (chamados coletivamente de ProxyShell , afetando servidores Microsoft Exchange)
- CVE-2018-8174 (no mecanismo VBScript do Microsoft Windows)
- CVE-2013-0074 (no Microsoft Silverlight)
- CVE-2021-26855 (uma falha de desvio de autenticação do Microsoft Exchange Server que faz parte da cadeia de exploração ProxyLogon)
O resto afeta uma variedade de outras soluções:
- CVE-2012-1723 e CVE-2012-0507 (no Java Runtime Environment da Oracle)
- CVE-2019-11510 (na solução Pulse Connect Secure VPN)
- CVE-2021-44228 (na biblioteca Apache Log4j)
- CVE-2014-6271 (também conhecido como Shellshock , afetando Linux Bash)
- CVE-2019-2725 (no Oracle WebLogic Server)
- CVE-2018-13379 (em Fortinet FortiGate)
- CVE-2021-26084 (no servidor Atlassian Confluence)
Todos eles possuem patches (ou micropatches ) e alguns foram atenuados com a desativação de determinados recursos/serviços. Mas os invasores sabem e contam com o fato de que muitos sistemas permanecem sem correção durante anos e anos.
Não é preciso dizer que os usuários – sejam eles consumidores ou empresas – devem trabalhar na implementação dos patches disponíveis o quanto antes.
FONTE: HELPNET SECURITY