A Microsoft divulgou hoje uma falha de segurança zero-day inédita em vários produtos Windows e Office, que foi explorada em ataques para obter execução remota de código por meio de documentos do Office maliciosos.
Atacantes não autenticados podem explorar a vulnerabilidade (rastreada como
CVE-2023-36884
) em ataques de alta complexidade sem necessidade de interação do usuário.
Uma exploração bem-sucedida pode levar a uma perda total de confidencialidade, disponibilidade e integridade, permitindo aos invasores acessar informações sensíveis, desativar a proteção do sistema e negar acesso ao sistema comprometido.
"A Microsoft está investigando relatórios de uma série de vulnerabilidades de execução remota de código que afetam os produtos Windows e Office.
A Microsoft tem conhecimento de ataques direcionados que tentam explorar essas vulnerabilidades usando documentos do Microsoft Office especialmente elaborados", disse a Microsoft hoje.
"Um invasor poderia criar um documento do Microsoft Office especialmente elaborado que permitiria a ele executar um código remoto no contexto da vítima.
No entanto, um invasor teria que convencer a vítima a abrir o arquivo malicioso".
Embora a falha ainda não tenha sido solucionada, a Microsoft diz que fornecerá patches aos clientes através do processo de lançamento mensal ou de uma atualização de segurança fora de banda.
Até que os patches
CVE-2023-36884
estejam disponíveis, a Microsoft afirma que os clientes que utilizam o Defender para Office e aqueles que ativaram a regra de Redução de Superfície de Ataque "Bloquear todas as aplicações de Office de criar processos filhos" estão protegidos contra ataques de phishing tentando explorar o bug.
Os que não usam essas proteções podem adicionar os seguintes nomes de aplicação à chave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION como valores do tipo REG_DWORD com dados 1.
No entanto, é importante observar que configurar essa chave de registro para bloquear tentativas de exploração também pode afetar algumas funcionalidades do Microsoft Office vinculadas às aplicações listadas acima.
Em um post separado, a empresa diz que o bug
CVE-2023-36884
foi explorado em ataques recentes visando organizações que participam da Cúpula da OTAN em Vilnius, Lituânia.
Como documentado em relatórios publicados pela Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) e pesquisadores da equipe de inteligência da BlackBerry, os atacantes usaram documentos maliciosos falsificados da organização Congresso Mundial Ucraniano para instalar payloads maliciosos de malware, incluindo o loader MagicSpell e a backdoor RomCom.
"Se explorado com sucesso, ele permite a um invasor conduzir um ataque baseado na execução remota de código (RCE) através da criação de um documento .docx ou .rtf malicioso projetado para explorar a vulnerabilidade", disseram os pesquisadores de segurança da BlackBerry.
"Isso é alcançado ao aproveitar o documento especialmente criado para executar uma versão vulnerável do MSDT, que por sua vez permite ao invasor passar um comando para a utilidade de execução".
"A última campanha do ator detectada em junho de 2023 envolveu o abuso do
CVE-2023-36884
para entregar uma backdoor com semelhanças ao RomCom", a Microsoft também disse na terça-feira.
RomCom é um grupo de criminosos cibernéticos russo (também rastreado como Storm-0978) conhecido por se envolver em ataques de ransomware e extorsão, além de campanhas focadas em roubo de credenciais, provavelmente destinadas a apoiar operações de inteligência, de acordo com a Microsoft.
A gangue foi anteriormente vinculada à operação de ransomware Industrial Spy, que agora mudou para o ransomware chamado Underground.
Em maio de 2022, ao investigar o ID TOX e o endereço de e-mail em uma nota de resgate do Industrial Spy, a MalwareHunterTeam descobriu uma associação peculiar com a operação de ransomware Cuba.
Ele observou que uma amostra de ransomware do Industrial Spy gerou uma nota de resgate com o mesmo ID TOX e endereço de e-mail usado por Cuba, bem como links para o site de vazamento de dados de Cuba.
No entanto, em vez de levar os usuários ao site de vazamento de dados do Industrial Spy, o link fornecido levava ao site Tor do Ransomware Cuba.
Além disso, a nota de resgate usava o mesmo nome de arquivo, !! LEIA-ME !!.txt, exatamente como as notas de resgate de Cuba anteriormente identificadas.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...