Foram divulgados detalhes sobre uma vulnerabilidade no Windows que deixou algumas pessoas vulneráveis a ataques que utilizam documentos do Office. A Microsoft divulgou o Vulnerabilidade de dia zero do Windows CVE-2021-40444 na terça-feira, 7 de setembro de 2021, mas a empresa não divulgou muitos detalhes sobre o assunto na época. A Microsoft explicou que a vulnerabilidade pode ser explorada usando controles ActiveX contidos em documentos do Office. Este método pode ser usado para colocar malware em computadores. Agora, temos mais detalhes sobre o assunto.
Biping Computer reuniu comentários de vários especialistas em segurança sobre a vulnerabilidade para ilustrar como ela funciona para as vantagens dos invasores. Para referência: Os documentos são abertos no Modo de Exibição Protegido no Office se uma Marca da Web (MotW) for detectada, sinalizando que um documento foi originado na Internet e pode ser perigoso. Essa medida de segurança, no entanto, não é uma solução infalível.
O analista de vulnerabilidade Will Dormann explicou algumas das falhas nesta configuração:
Se o documento estiver em um contêiner que é processado por algo que não é compatível com o MotW, o fato de o contêiner ter sido baixado da Internet será discutível. Por exemplo, se 7Zip abrir um arquivo que veio da Internet, o conteúdo extraído não terá nenhuma indicação de que veio da Internet. Portanto, sem MotW, sem visualização protegida.
Da mesma forma, se o documento estiver em um contêiner como um arquivo ISO, um usuário do Windows pode simplesmente clicar duas vezes no ISO para abri-lo. Mas o Windows não considera o conteúdo como vindo da Internet. Então, novamente, sem MotW, sem exibição protegida.
Existem também alguns tipos de arquivos, como arquivos RTF, que não abrem no Modo de Exibição Protegido, o que causa problemas de segurança.
A Microsoft implementou medidas atenuantes para impedir que os controles ActiveX sejam executados no Internet Explorer, mas os pesquisadores têm soluções alternativas encontradas.
Para ilustrar a viabilidade desses tipos de ataques, aqui está um hipotético que utiliza vários métodos de ataque que relatamos nos últimos meses.
Suponha que você receba um e-mail que parece ser do Futurenet.com, mas na verdade é do Futurenеt.com (observe que o segundo “e” é diferente). Este e-mail seria de um domínio falso que utiliza uma tática da velha escola que mistura caracteres dos alfabetos latino e cirílico. À primeira vista, o e-mail parece legítimo. Agora imagine este truque combinado com um bug recente no Outlook que falhou em diferenciar entre caracteres latinos e cirílicos, fazendo com que endereços de e-mail maliciosos aparecessem ao lado de cartões de contato genuínos no Outlook.
No e-mail hipotético e aparentemente inocente mencionado anteriormente, está um documento do Word que afirma ser sobre algo rotineiro, como um boletim informativo que precisa ser lido ou um formulário que precisa ser preenchido. Quando você clica no documento hipotético, ele aparece no Modo de Exibição Protegido porque é um documento da web. Muitas pessoas irão ignorar esse aviso e clicar em “habilitar edição” em qualquer documento que abrirem. É ainda mais provável que as pessoas habilitem a edição em um documento que parece ser de um contato genuíno.
Ao clicar no botão habilitar edição, seu PC agora está exposto a códigos maliciosos, como os encontrados em ataques recentes destacados por pesquisadores. O recente Campanha “Windows 11 Alpha” é um ótimo exemplo desse tipo de ataque. Ele afirma que as pessoas precisam clicar em um botão para tornar um documento do Windows 11 compatível com o Windows 10. Pessoas não familiarizadas com o Windows 11 provavelmente acreditarão em um prompt como este e abrirão seu PC para um ataque.
Os atores de ameaças freqüentemente tiram vantagem de uma combinação de vulnerabilidades de segurança e a ignorância ou inocência das pessoas. A Microsoft pode corrigir um conjunto de vulnerabilidades, mas outros podem ser descobertos. Pelo menos algumas pessoas continuarão a ser ignorantes ou ingênuas, e é por isso que as campanhas de ataque continuam a ter sucesso.
Podemos ganhar uma comissão por compras usando nossos links. Saber mais.