C
onfirmado pela Microsoft nesta semana, um bug de alta gravidade foi descoberto por pesquisadores de segurança independentes, falha esta que pode facilitar a execução remota de códigos maliciosos a partir de uma simples abertura de documento no Word. Esta vulnerabilidade de alta severidade no Microsoft Office permite que ataques envolvendo a execução remota de códigos sejam realizados, através da simples abertura de um documento do Word. A brecha é desconhecida até agora até mesmo pelos próprios desenvolvedores da empresa, e não tem previsão de correção, enquanto já aparenta estar sendo utilizada por cibercriminosos.
A vulnerabilidade ainda não recebeu um número de rastreamento pela empresa, e é atualmente conhecida pela comunidade como ‘Follina’, que, usando documentos maliciosos do Word para executar comandos do PowerShell, afetam a Ferramenta de Diagnóstico da Microsoft (MSDT). Além disso, se caracteriza por não exigir privilégios elevados para ser explorada e pela facilidade de driblar a detecção do Windows Defender. Além disso, não depende de macros ou outros elementos normalmente utilizados em ataques virtuais, necessitando apenas da abertura de um simples arquivo na ferramenta Word. A partir daí, links externos do editor de textos são aproveitados para a execução dos códigos remotamente. E há relatos da possibilidade de executar os comandos PowerShell até mesmo sem a abertura de um documento, de acordo com especialistas. Somente é necessário que o cibercriminoso modifique o formato do arquivo para Rich Text Format (RTF), ação que também evita a detecção do invasor por recursos de segurança presentes no software.
Até o momento, os pesquisadores encontraram a vulnerabilidade nas versões 2013, 2016, 2021 e Profissional Plus do Office. Todas podem estar funcionando com as atualizações mais recentes, com a falha aparecendo até mesmo no Windows 11. Mesmo sendo apontada como de alta severidade pelos especialistas, a vulnerabilidade Follina não chegou a ser considerada como tal pela Microsoft, a princípio. E mesmo sendo alertada em abril sobre o bug, a mesma teria descartado a notificação, afirmando não se tratar de um problema relacionado à segurança. Os cibercriminosos utilizam um código, escondido no arquivo e funcional mesmo nos sistemas onde a execução de macros está desabilitada. A exploração envolvia o download de um arquivo em formato RAR cujo conteúdo era desencriptado e instalado; pesquisadores em segurança não puderam encontrar o pacote, o que impediu entender, exatamente, qual o intuito dos atacantes com esse golpe.
Enquanto mecanismos usuais de segurança do Word, como o alerta sobre a possibilidade de perigo no arquivo são exibidos, tais avisos podem ser facilmente evadidos, simplesmente, com a mudança do formato de DOCX para RTF pelos criminosos. Assim, seria possível rodar o comando PowerShell sem que o usuário nem mesmo abra o documento, bastando que ele clique uma vez sobre ele para rodar prévias ou ver informações.
Depois da divulgação, a dona do Windows reconheceu a falha e O bug ainda não tem correção disponível, sendo necessário tomar cuidados como desabilitar o protocolo URL MSDT e ativar a proteção na nuvem do Microsoft Defender Antivirus para mitigar os riscos de ataques. E na manhã desta terça-feira, a Microsoft disponibilizou um guia para auxiliar usuários na correção e mitigação da falha, através da modificação do protocolo MDST URL.
A criação de regras em softwares de segurança são o melhor caminho para proteção, principalmente no ambiente corporativo, maior alvo de ataques envolvendo documentos do Word. A recomendação é de aplicação de uma regra que impeça a criação de processos secundários por aplicações do Office ou bloquear o uso da ferramenta de diagnósticos pela suíte de aplicativos, de forma que ela não possa ser acionada e explorada, mesmo que um documento comprometido seja aberto. Além de tudo isto, a recomendação é sempre manter todos os dispositivos sempre atualizados, assim os mesmos terão as brechas de segurança monitoradas e corrigidas rapidamente, antes que haja falhas na segurança, invasões e possíveis roubos de dados e valores em contas bancárias.
Quer saber mais? Entre em contato conosco!
Continue sempre informado nos acompanhando nas redes sociais.
