Microsoft: Falha não corrigida do Office explorada em ataques durante a cúpula da OTAN
12 de Julho de 2023

A Microsoft divulgou hoje uma falha de segurança zero-day inédita em vários produtos Windows e Office, que foi explorada em ataques para obter execução remota de código por meio de documentos do Office maliciosos.

Atacantes não autenticados podem explorar a vulnerabilidade (rastreada como CVE-2023-36884 ) em ataques de alta complexidade sem necessidade de interação do usuário.

Uma exploração bem-sucedida pode levar a uma perda total de confidencialidade, disponibilidade e integridade, permitindo aos invasores acessar informações sensíveis, desativar a proteção do sistema e negar acesso ao sistema comprometido.

"A Microsoft está investigando relatórios de uma série de vulnerabilidades de execução remota de código que afetam os produtos Windows e Office.

A Microsoft tem conhecimento de ataques direcionados que tentam explorar essas vulnerabilidades usando documentos do Microsoft Office especialmente elaborados", disse a Microsoft hoje.

"Um invasor poderia criar um documento do Microsoft Office especialmente elaborado que permitiria a ele executar um código remoto no contexto da vítima.

No entanto, um invasor teria que convencer a vítima a abrir o arquivo malicioso".

Embora a falha ainda não tenha sido solucionada, a Microsoft diz que fornecerá patches aos clientes através do processo de lançamento mensal ou de uma atualização de segurança fora de banda.

Até que os patches CVE-2023-36884 estejam disponíveis, a Microsoft afirma que os clientes que utilizam o Defender para Office e aqueles que ativaram a regra de Redução de Superfície de Ataque "Bloquear todas as aplicações de Office de criar processos filhos" estão protegidos contra ataques de phishing tentando explorar o bug.

Os que não usam essas proteções podem adicionar os seguintes nomes de aplicação à chave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION como valores do tipo REG_DWORD com dados 1.

No entanto, é importante observar que configurar essa chave de registro para bloquear tentativas de exploração também pode afetar algumas funcionalidades do Microsoft Office vinculadas às aplicações listadas acima.

Em um post separado, a empresa diz que o bug CVE-2023-36884 foi explorado em ataques recentes visando organizações que participam da Cúpula da OTAN em Vilnius, Lituânia.

Como documentado em relatórios publicados pela Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) e pesquisadores da equipe de inteligência da BlackBerry, os atacantes usaram documentos maliciosos falsificados da organização Congresso Mundial Ucraniano para instalar payloads maliciosos de malware, incluindo o loader MagicSpell e a backdoor RomCom.

"Se explorado com sucesso, ele permite a um invasor conduzir um ataque baseado na execução remota de código (RCE) através da criação de um documento .docx ou .rtf malicioso projetado para explorar a vulnerabilidade", disseram os pesquisadores de segurança da BlackBerry.

"Isso é alcançado ao aproveitar o documento especialmente criado para executar uma versão vulnerável do MSDT, que por sua vez permite ao invasor passar um comando para a utilidade de execução".

"A última campanha do ator detectada em junho de 2023 envolveu o abuso do CVE-2023-36884 para entregar uma backdoor com semelhanças ao RomCom", a Microsoft também disse na terça-feira.

RomCom é um grupo de criminosos cibernéticos russo (também rastreado como Storm-0978) conhecido por se envolver em ataques de ransomware e extorsão, além de campanhas focadas em roubo de credenciais, provavelmente destinadas a apoiar operações de inteligência, de acordo com a Microsoft.

A gangue foi anteriormente vinculada à operação de ransomware Industrial Spy, que agora mudou para o ransomware chamado Underground.

Em maio de 2022, ao investigar o ID TOX e o endereço de e-mail em uma nota de resgate do Industrial Spy, a MalwareHunterTeam descobriu uma associação peculiar com a operação de ransomware Cuba.

Ele observou que uma amostra de ransomware do Industrial Spy gerou uma nota de resgate com o mesmo ID TOX e endereço de e-mail usado por Cuba, bem como links para o site de vazamento de dados de Cuba.

No entanto, em vez de levar os usuários ao site de vazamento de dados do Industrial Spy, o link fornecido levava ao site Tor do Ransomware Cuba.

Além disso, a nota de resgate usava o mesmo nome de arquivo, !! LEIA-ME !!.txt, exatamente como as notas de resgate de Cuba anteriormente identificadas.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...