Um arquivo .doc pode colocar seu computador Windows em risco

June 08, 2022
DentroNotícias Segurança Da Internet

click fraud protection

Um novo ataque de clique zero do Windows que pode comprometer máquinas sem qualquer ação do usuário foi observado na natureza.
A Microsoft reconheceu o problema e lançou etapas de correção, mas o bug ainda não possui um patch oficial.
Os pesquisadores de segurança veem o bug sendo explorado ativamente e esperam mais ataques em um futuro próximo.

Um bug mecânico em uma teia de luz simulada. — John M Lund Photography Inc / Getty Images

Os hackers encontraram uma maneira de invadir um computador Windows simplesmente enviando um arquivo malicioso especialmente criado.

Apelidado de Follina, o bug é bastante sério, pois pode permitir que hackers assumam controle total sobre qualquer sistema Windows apenas enviando um documento modificado do Microsoft Office. Em alguns casos, as pessoas nem precisam abrir o arquivo, pois a visualização do arquivo do Windows é suficiente para acionar os bits desagradáveis. Notavelmente, A Microsoft reconheceu o bug mas ainda não lançou uma correção oficial para anulá-lo.

“Esta vulnerabilidade ainda deve estar no topo da lista de coisas com as quais se preocupar”,

Dr. Johannes Ullrich, Pró-Reitoria de Pesquisa para Instituto de Tecnologia SANS, escreveu no Boletim semanal da SANS. "Embora os fornecedores de anti-malware estejam atualizando rapidamente as assinaturas, eles são inadequados para proteger contra a ampla variedade de explorações que podem tirar proveito dessa vulnerabilidade."

Visualizar para comprometer

A ameaça foi primeiro visto por pesquisadores de segurança japoneses no final de maio, cortesia de um documento malicioso do Word.

Pesquisador de segurança Kevin Beaumont desdobrou a vulnerabilidade e descobriu o arquivo .doc carregou um pedaço espúrio de código HTML, que então chama a Ferramenta de Diagnóstico da Microsoft para executar um código do PowerShell, que por sua vez executa a carga maliciosa.

O Windows usa a Microsoft Diagnostic Tool (MSDT) para coletar e enviar informações de diagnóstico quando algo der errado com o sistema operacional. Os aplicativos chamam a ferramenta usando o protocolo especial de URL MSDT (ms-msdt://), que o Follina pretende explorar.

"Esta exploração é uma montanha de explorações empilhadas umas sobre as outras. No entanto, infelizmente é fácil de recriar e não pode ser detectado pelo antivírus", disse. escreveu defensores da segurança no Twitter.

Em uma discussão por e-mail com a Lifewire, Nikolas Cemerikic, Engenheiro de Segurança Cibernética na Laboratórios imersivos, explicou que Follina é único. Ele não segue o caminho usual de uso indevido de macros de escritório, e é por isso que pode causar estragos para pessoas que desabilitaram macros.

"Por muitos anos, o phishing de e-mail, combinado com documentos maliciosos do Word, tem sido a maneira mais eficaz de obter acesso ao sistema de um usuário", destacou Cemerikic. "O risco agora é agravado pelo ataque de Follina, pois a vítima só precisa abrir um documento ou, em alguns casos, visualize uma visualização do documento por meio do painel de visualização do Windows, eliminando a necessidade de aprovar a segurança avisos."

A Microsoft foi rápida em lançar alguns etapas de correção para mitigar os riscos da Follina. "As mitigações disponíveis são soluções confusas que a indústria não teve tempo de estudar o impacto", escreveu John Hammond, pesquisador sênior de segurança da Caçadora, na empresa blog de mergulho profundo no erro. "Eles envolvem a alteração de configurações no Registro do Windows, o que é um negócio sério porque uma entrada incorreta do Registro pode bloquear sua máquina."

Essa vulnerabilidade ainda deve estar no topo da lista de coisas com as quais se preocupar.

Embora a Microsoft não tenha lançado um patch oficial para corrigir o problema, há uma não oficial de 0patch projeto.

Falando através da correção, Mitja Kolsek, co-fundador do projeto 0patch, escreveu que, embora seja simples desabilitar completamente a ferramenta de diagnóstico da Microsoft ou codificar o etapas de remediação em um patch, o projeto optou por uma abordagem diferente, pois ambas as abordagens afetariam negativamente o desempenho do Ferramenta de diagnóstico.

Está apenas começando

Os fornecedores de segurança cibernética já começaram a ver a falha sendo explorado ativamente contra alguns alvos de alto perfil nos EUA e na Europa.

Embora todas as explorações atuais pareçam usar documentos do Office, o Follina pode ser abusado por outros vetores de ataque, explicou Cemerikic.

Explicando por que ele acreditava que Follina não iria embora tão cedo, Cemerikic disse que, como acontece com qualquer grande exploração ou vulnerabilidade, os hackers eventualmente começam a desenvolver e liberar ferramentas para ajudar na exploração esforços. Isso essencialmente transforma essas explorações bastante complexas em ataques de apontar e clicar.

Closeup na mão de alguém operando um mouse de computador, com o computador e alto-falantes em segundo plano. — EvgeniyShkolenko / Getty Images

"Os invasores não precisam mais entender como o ataque funciona ou encadear uma série de vulnerabilidades, tudo o que precisam fazer é clicar em 'executar' em uma ferramenta", disse Cemerikic.

Ele argumentou que isso é exatamente o que a comunidade de segurança cibernética testemunhou na semana passada, com um exploração muito séria sendo colocada nas mãos de atacantes e script kiddies menos capazes ou incultos.

"Com o passar do tempo, quanto mais essas ferramentas estiverem disponíveis, mais o Follina será usado como um método de malware entrega para comprometer as máquinas de destino", alertou Cemerikic, pedindo às pessoas que corrijam suas máquinas Windows sem atraso.