Geral 3min de Leitura - 01 de junho de 2022

Medidas de mitigações para bloquear ataques de dia zero do Office

Microsoft

This post is also available in: Português

A Microsoft compartilhou medidas de mitigação para bloquear ataques que exploram uma falha de dia zero que foi recém descoberta do Microsoft Office, que está sendo usada para executar código malicioso remotamente.

A nova vulnerabilidade foi descoberta por pesquisadores de segurança, e está sendo usada em ataques para executar comandos maliciosos do PowerShell via Microsoft Diagnostic Tool (MSDT) simplesmente abrindo um documento do Word.

A Microsoft está rastreando a vulnerabilidade como CVE-2022-30190. A falha afeta todas as versões do Windows que ainda recebem atualizações de segurança (Windows 7+ e Server 2008+).

Vulnerabilidade encontrada por acidente

Na última sexta-feira, 27, o pesquisador de segurança nao_sec encontrou um documento malicioso do Word enviado para a plataforma de verificação Virus Total a partir de um endereço IP na Bielorrússia.

Segundo o pesquisador, ele estava procurando arquivos no VirusTotal que exploravam CVE-2021-40444, e encontrou um arquivo que abusa do esquema msdt.

Ele usa o link externo do Word para carregar o HTML e, em seguida, usa o esquema ‘ms-msdt’ para executar o código do PowerShell.

nao sec
Código de carga útil ofuscado, fonte: nao_sec

O pesquisador de segurança Kevin Beaumont desobstruiu o código e explica em uma postagem no blog que é uma string de linha de comando que o Microsoft Word executa usando o MSDT, mesmo que os scripts de macro estejam desabilitados.

kevin
Carga útil desobstruída, fonte: Kevin Beaumont

A Microsoft explica que um invasor que explorar com sucesso essa vulnerabilidade pode executar código arbitrário com os privilégios do aplicativo de chamada.

O invasor pode instalar programas, visualizar, alterar ou excluir dados ou criar novas contas no contexto das permissões do usuário.

Solução alternativa disponível

De acordo com Redmond, administradores e usuários podem bloquear ataques que exploram CVE-2022-30190 desabilitando o protocolo de URL MSDT, que cibercriminosos usam para iniciar solucionadores de problemas e executar código em sistemas vulneráveis.

Para desabilitar o protocolo de URL MSDT em um dispositivo Windows, é necessário seguir o procedimento:

  • 1. Execute o prompt de comando como administrador;
      • 2. Para fazer backup da chave de registro, execute o comando “reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg”;
      • 3. Execute o comando “reg delete HKEY_CLASSES_ROOT\ms-msdt/f”

      Depois que a Microsoft lançar um patch CVE-2022-30190, é possível desfazer a solução alternativa iniciando um prompt de comando e executando o comando reg import ms-msdt.reg (nome do arquivo é o nome do backup do registro criado ao desabilitar o protocolo).

      Embora a Microsoft diga que o Protected View e o Application Guard do Microsoft Office bloqueariam os ataques CVE-2022-30190, o analista de vulnerabilidades do CERT/CC, Will Dormann (e outros pesquisadores), descobriu que o recurso de segurança não bloqueará tentativas de exploração se o alvo visualizar os documentos maliciosos no Windows explorer.

      Portanto, é aconselhável desabilitar o painel de visualização no Windows Explorer para remover também esse vetor de ataque.

      De acordo com o Shadow Chaser Group, os pesquisadores que primeiro detectaram e relataram o dia zero em abril, a Microsoft primeiro marcou a falha como um problema não relacionado à segurança.

      Os primeiros ataques que exploraram esse bug de dia zero começaram há mais de um mês usando convites para entrevistas na Rádio Sputnik e ameaças de sextorsão como iscas.

      This post is also available in: Português