Zero Day com sucesso no Office mesmo com macros desabilitadas

Zero Day com sucesso no Office mesmo com macros desabilitadas, basta visualizar o arquivo. A vulnerabilidade “Follina” na Microsoft Support Diagnostic Tool (MSDT) afeta todas as versões do Windows atualmente com suporte e pode ser acionada por meio de documentos do Office especialmente criados.

A Microsoft confirmou a existência de vulnerabilidade crítica que permite execução remota de código relacionada a recursos da ferramentas MSDT (Microsoft Support Diagnostic Tool), os invasores estão explorando ativamente uma falha não corrigida e fácil de explorar no MSDT que permite a execução remota de código de documentos do Office mesmo quando as macros estão desabilitadas.

A exploração bem-sucedida desta vulnerabilidade pode permitir a execução remota de código, possibilitando ações maliciosas como a instalação de programas, o comprometimento da confidencialidade de dados e a criação de novas contas de acesso no sistema afetado.

Até que sejam disponibilizadas correções para o problema, o Centro de Prevenção, Tratamento e Resposta à Incidentes Cibernéticos de Governo (CTIR Gov) recomenda que o protocolo MSDT seja desabilitado com urgência via edição do Registro do Windows, evitando-se desta forma o abuso de seu funcionamento. Para isso, são necessárias as seguintes ações:

Acessar o prompt de comando do Windows como Administrador;
Realizar o backup da chave de registro com o comando: reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt-backup-reg
Apagar a chave, executando o comando: reg delete HKEY_CLASSES_ROOT\ms-msdt /f

A vulnerabilidade existe em todas as versões do Windows atualmente com suporte e pode ser explorada por meio do Microsoft Office versões 2013 até o Office 2019, Office 2021, Office 365 e Office ProPlus, de acordo com pesquisadores de segurança que analisaram o problema.

Os invasores podem explorar a falha de dia zero – apelidada de “Follina” – para executar remotamente código arbitrário em sistemas Windows. A Microsoft alertou sobre o problema, dando aos invasores uma maneira de “instalar programas, visualizar, alterar ou excluir dados ou criar novas contas no contexto permitido pelos direitos do usuário“. Pesquisadores relataram observar ataques que exploram a falha na Índia e na Rússia há pelo menos um mês.

Reconhecimento atrasado?

A Microsoft na segunda-feira, 30 de maio, atribuiu à falha um identificador CVE – CVE-2022-30190 – depois de aparentemente descrevê-la inicialmente como um problema de não segurança em abril, quando crazyman , um pesquisador de segurança do grupo de caça a ameaças APT Shadow Chaser Group, relatou pela primeira vez observar uma exploração pública da vulnerabilidade. Embora o comunicado da empresa tenha descrito a falha como sendo conhecida publicamente e explorada ativamente, não descreveu o problema como uma ameaça de dia zero.

Em uma postagem no blog de 30 de maio, a Microsoft recomendou que as organizações desativem o protocolo de URL MSDT para mitigar o problema e disse que forneceria mais atualizações posteriormente sem especificar quando. A Microsoft disse que o recurso Protected View no Microsoft Office e o Application Guard for Office impediriam ataques que tentam explorar a falha.

A Microsoft não respondeu a uma consulta do Dark Reading sobre se havia descrito inicialmente o problema como um problema não relacionado à segurança ou quando poderia ter descoberto a falha pela primeira vez. Em vez disso, uma porta-voz apontou o comunicado da Microsoft na segunda-feira como o único comentário que a empresa tem sobre o assunto no momento.

MSDT é uma ferramenta de suporte do Windows que coleta e envia dados do sistema de um usuário para a equipe de suporte da Microsoft para que eles possam analisar e diagnosticar problemas que um usuário possa encontrar em seu sistema. De acordo com a Microsoft, a vulnerabilidade é acionada quando um aplicativo do Office como o Word chama o MSDT usando o protocolo de URL. “Um invasor que explorar com sucesso essa vulnerabilidade pode executar código arbitrário com os privilégios do aplicativo de chamada”, observou a empresa.

Várias façanhas na natureza

Embora o pesquisador de segurança do Shadow Chaser Group tenha notificado pela primeira vez o Microsoft Security Response Center sobre o bug há mais de um mês, a vulnerabilidade só recebeu ampla atenção no fim de semana quando um pesquisador detectou um documento malicioso do Word tentando explorar o problema . O pesquisador de segurança Kevin Beaumont analisou o documento e descobriu que ele estava usando o recurso de modelo remoto no Word para recuperar um arquivo HTML de um servidor Web remoto. O arquivo recuperado, por sua vez, usou o protocolo de URL MS-MSDT para carregar o código para executar um script do PowerShell. Beaumont descobriu que o documento estava executando código mesmo com macros desabilitadas. O pesquisador de segurança encontrou pelo menos dois outros documentos maliciosos do Word tentando explorar o Follina desde abril.

Significativamente, Beaumont e outros pesquisadores descobriram que a técnica de ataque permitiu aos agentes de ameaças uma maneira de contornar o mecanismo “Protected View” no Office que alerta os usuários sobre o conteúdo baixado da Internet e requer um clique adicional deles para abrir. De acordo com Malwarebytes, o aviso pode ser ignorado simplesmente alterando o documento para um arquivo Rich Text Format (RTF). Ao fazer isso, o código pode ser executado sem que o usuário precise abrir o documento por meio da guia de visualização no Explorer, disse Malwarebytes.

“Os arquivos RTF são um formato especial que permite que os documentos sejam visualizados dentro do Windows Explorer“, diz Jerome Segura, diretor sênior de inteligência de ameaças da Malwarebytes. “Quando isso acontecer, o Explorer irá chamar o processo msdt que está sendo explorado sem nenhum aviso ou prompt“, diz ele. Na verdade, o painel de visualização é um recurso arriscado porque permite ataques de clique zero, diz Segura. “Recomendamos aos usuários desativá-lo no Explorer, bem como em clientes de e-mail como o Outlook.“

Impacto potencialmente generalizado

Johannes Ullrich, reitor de pesquisa do SANS Institute , diz que por si só a vulnerabilidade no MSDT não seria grande coisa. Mas o fato de poder ser acionado via Microsoft Office é preocupante. Tudo o que um usuário precisa fazer é abrir um documento do Word especialmente criado ou, em alguns casos, apenas visualizá-lo para permitir a execução remota de código, diz ele. Isso prepara o terreno para compromissos potencialmente generalizados, especialmente considerando que inúmeras explorações estão disponíveis há um mês.

“Existem vários scripts, exemplos e tutoriais explicando como explorar essa vulnerabilidade. A aplicação dessas técnicas é fácil”, diz Ullrich. Ele aponta para um documento malicioso para explorar o Follina que o SANS descobriu recentemente, que supostamente continha cotações de preços de telefones celulares, que um exploit funcionou embora pareça ter sido compilado por um agente de ameaças relativamente inexperiente. “Parece ter sido criado por um invasor iniciante, pois nem mesmo remove alguns dos comentários adicionados ao documento malicioso“, diz Ullrich .

Ele recomenda que as organizações sigam imediatamente as orientações da Microsoft e desativem o protocolo de URL MSDT. “Isso quebrará o vínculo entre o Office e a ferramenta de diagnóstico“, diz ele. Embora a vulnerabilidade no MSDT ainda esteja presente, ela não pode mais ser acionada ao abrir um documento malicioso, diz ele. O SANS recomenda que as organizações desativem o Painel de Visualização no Windows Explorer.

Dray Agha, analista de ThreatOps da Huntress, que se aprofundou na vulnerabilidade , diz que os invasores podem usar o Follina para aumentar privilégios e viajar entre ambientes para criar estragos. “Os hackers podem passar de um usuário com poucos privilégios a um administrador com extrema facilidade“, diz Agha. “A vulnerabilidade pode ser facilmente desencadeada por usuários que simplesmente optam por ‘pré-visualizar’ um documento especificamente criado e fornecido de forma maliciosa. É simples assim.“

Fote: Darkreading & CTIR Gov