Uma falha de segurança no Windows descoberta nesta semana, e ainda não corrigida pela Microsoft, pode ser mais perigosa do que acreditava a própria empresa e os analistas de segurança. De acordo com uma análise posterior da vulnerabilidade, que está em uma integração da suíte de aplicativos com o Internet Explorer, nem mesmo os sistemas de proteção automático ou desativação no carregamento de certos conteúdos podem impedir que um ataque mais sofisticado seja executado.

A vulnerabilidade CVE-2021-40444 aparece como a versão mais perigosa de um golpe conhecido, utilizando e-mails fraudulentos para entregar documentos aos usuários — dentro, está a exploração, que a partir de conteúdos carregados da internet, também permite a execução remota de códigos maliciosos. Sistemas automatizados, normalmente, são capazes de reconhecer tais atributos, assim como os macros que são utilizados nas tentativas de intrusão mais comuns, mas na visão de especialistas em segurança digital do instituto CERT/CC, da Universidade Carnegie Mellon, podem não ser eficazes.

Ao serem abertos, esses documentos exigem um alerta de bloqueio, com o Windows detectando a presença de conteúdo online e impedindo, além do carregamento de dados, também a edição. Para o analista Will Dormann, a telemetria mostra que muitos usuários ignoram tal alerta e habilitam o recurso mesmo que não tenham a intenção de modificar o conteúdo. Além disso, ele aponta que arquivos no formato RTF ou oriundos de pacotes com formato 7Zip ou ISO, por exemplo, nem mesmo têm o aviso exibido, podendo ser usados por criminosos em ataques.

A segunda indicação da Microsoft para mitigar a vulnerabilidade é bloquear a execução de controles ActiveX, a partir das configurações do Office. Enquanto o código que vem sendo usado para os ataques depende disso, o pesquisador em segurança Kevin Beaumont diz ser capaz de modificar a ação de forma que tais comandos não sejam mais necessários — no processo, ele também simplificou o ataque, bastando um clique do usuário para que o golpe aconteça.

Formato comum

Exemplo de e-mail que vem sendo usado por criminosos para aproveitar brecha em sistema de carregamento de conteúdo online; vulnerabilidade segue sem correção e medidas de mitigação podem não ser tão eficazes (Imagem: Reprodução/Bleeping Computer)

A atenção a e-mails fraudulentos continua sendo a principal artimanha dos usuários para se defenderem de golpes desse tipo. Apesar dos novos métodos, os criminosos ainda precisam da engenharia social para que o ataque funcione, e em uma das amostras analisadas por especialistas, o medo de processos contra a empresa é utilizado como arma, na forma de uma notificação extrajudicial falsa, em nome de um suposto cliente que deseja acionar a justiça.

Caso a brecha seja efetivamente explorada, é instalado um beacon do Cobalt Strike, um software que normalmente é usado para testes de segurança mas vem se tornando, também, arma de criminosos digitais. A partir daí, eles ganham acesso remoto à máquina e podem seguir na instalação de malwares, extração de dados e diferentes tipos de ataque.

A Microsoft segue investigando o caso e mantém o alerta aos usuários para que desativem controles ActiveX e não abram documentos desconhecidos. Por outro lado, não existe previsão de lançamento de uma atualização que mitigue a brecha de vez.

Fonte: Bleeping Computer

Deseja ler mais sobre segurança? Clique aqui…

By Lucas Rodrigues Monteiro

Bacharel em Sistemas da Informação, Certificado MCTS 70-680 / MOS, Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux! Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.

Deixe uma resposta

Translate »