CISA ordena que as agências governamentais mitigem os zero-days do Windows e do Office
18 de Julho de 2023

O CISA ordenou que as agências federais mitigassem falhas de execução de código remoto em produtos do Windows e Office explorados pelo grupo cibercriminoso baseado na Rússia, RomCom, em ataques de phishing da OTAN.

As falhas de segurança (rastreadas coletivamente como CVE-2023-36884 ) também foram adicionadas à lista de Vulnerabilidades Exploradas Conhecidas do CISA na segunda-feira.

De acordo com a Diretiva Operacional Vinculativa (BOD 22-01) emitida em novembro de 2021, as Agências Executivas Civis Federais dos EUA (FCEB) agora são obrigadas a proteger os dispositivos Windows em suas redes contra ataques explorando o CVE-2023-36884 .

As agências federais receberam três semanas, até 8 de agosto, para proteger seus sistemas, implementando medidas de mitigação compartilhadas pela Microsoft uma semana atrás.

Embora a falha ainda não tenha sido resolvida, a Microsoft se comprometeu a entregar correções através do processo de lançamento mensal ou de uma atualização de segurança fora da banda.

Até que as correções estejam disponíveis, a Redmond diz que os clientes que usam o Defender para Office 365, Microsoft 365 Apps (Versões 2302 e posteriores) e aqueles que já ativaram a regra de redução de superfície de ataque "Bloquear todas as aplicações do Office de criar processos filho" estão protegidos contra ataques de phishing CVE-2023-36884 .

Aqueles que não utilizam essas proteções podem adicionar os seguintes processos aos nomes de chave de registro FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION como valores do tipo REG_DWORD com dados 1 para remover o vetor de ataque: Excel.exe, Graph.exe, MSAccess.exe, MSPub.exe, PowerPoint.exe, Visio.exe, WinProj.exe, WinWord.exe, Wordpad.exe.

No entanto, também é importante notar que enquanto a configuração desta chave de registro bloqueará ataques CVE-2023-36884 , ela também pode impactar algumas funcionalidades dos aplicativos do Microsoft Office.

Embora o foco principal do catálogo seja em torno das agências federais dos EUA, é fortemente recomendado que as empresas privadas também priorizem a correção de todas as vulnerabilidades adicionadas ao catálogo KEV do CISA.

"Esses tipos de vulnerabilidades são vetores de ataque frequentes para atores cibernéticos mal-intencionados e representam riscos significativos para a empresa federal", alertou o CISA.

Em um relatório publicado durante o Patch Tuesday deste mês, a Microsoft confirmou que as falhas de dia zero CVE-2023-36884 foram exploradas em ataques direcionados contra entidades governamentais em toda a América do Norte e Europa.

"A campanha envolveu o abuso do CVE-2023-36884 , que incluiu uma vulnerabilidade de execução de código remoto explorada antes da divulgação para a Microsoft por meio de documentos do Word", disse Redmond.

"Storm-0978 (DEV-0978, também referido como RomCom, o nome de seu backdoor, por outros fornecedores) é um grupo cibercriminoso baseado na Rússia, conhecido por conduzir operações de ransomware e extorsão oportunistas, bem como campanhas direcionadas de coleta de credenciais provavelmente em apoio às operações de inteligência."

"A última campanha do ator detectada em junho de 2023 envolveu o abuso do CVE-2023-36884 para entregar um backdoor com similaridades ao RomCom."

Segundo relatórios compilados por pesquisadores da equipe de inteligência da BlackBerry e da Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA), os atacantes usaram documentos maliciosos do Office que se passavam pela organização Congresso Mundial Ucraniano para alvos de organizações participantes da Cúpula da OTAN em Vilnius.

Através deste truque, eles conseguiram enganar seus alvos para implementar cargas úteis de malware, que incluíam o carregador MagicSpell e o backdoor RomCom.

A gangue cibercriminosa RomCom foi previamente ligada à operação de ransomware Industrial Spy e agora mudou para uma nova variante de ransomware chamada Underground.

Em maio de 2022, a MalwareHunterTeam também encontrou uma ligação com a operação de ransomware Cuba enquanto investigava o endereço de email e o ID TOX em uma nota de resgate do Industrial Spy.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...