A Microsoft divulgou uma vulnerabilidade zero-day de alta severidade que afeta o Office 2016 e versões posteriores, a qual ainda aguarda por uma correção.
Identificada como CVE-2024-38200, esta falha de segurança é causada por uma fraqueza de divulgação de informações que permite a atores não autorizados acessar informações protegidas, como status do sistema ou dados de configuração, informações pessoais ou metadados de conexão.
O zero-day impacta diversas versões do Office em 32-bit e 64-bit, incluindo Office 2016, Office 2019, Office LTSC 2021 e Microsoft 365 Apps para Empresas.
Embora a avaliação de explorabilidade da Microsoft indique que a exploração do CVE-2024-38200 é menos provável, o MITRE marcou a probabilidade de exploração deste tipo de fraqueza como altamente provável.
"Em um cenário de ataque baseado na web, um atacante poderia hospedar um site (ou aproveitar um site comprometido que aceita ou hospeda conteúdo fornecido pelo usuário) contendo um arquivo especialmente criado para explorar a vulnerabilidade", explica o aviso da Microsoft.
No entanto, um atacante não teria como forçar o usuário a visitar o site.
Em vez disso, um atacante teria que convencer o usuário a clicar em um link, geralmente através de um incentivo em um email ou mensagem de Mensageiro Instantâneo, e então convencer o usuário a abrir o arquivo especialmente criado.
A empresa está desenvolvendo atualizações de segurança para abordar este bug zero-day, mas ainda não anunciou uma data de lançamento.
Embora a Redmond não tenha compartilhado detalhes sobre a falha, sua descoberta foi atribuída ao consultor de segurança da PrivSec Consulting, Jim Rush, e ao membro do Synack Red Team, Metin Yunus Kandemir.
O Diretor Gerente da PrivSec, Peter Jakowetz, informou que Rush revelará mais informações sobre esta vulnerabilidade em sua próxima palestra "NTLM - The last ride" na Defcon.
"Haverá um mergulho profundo em vários novos bugs que divulgamos para a Microsoft (incluindo a superação de um reparo de um CVE existente), algumas técnicas interessantes e úteis, combinando técnicas de múltiplas classes de bugs resultando em algumas descobertas inesperadas e alguns bugs absolutamente absurdos", explica Rush.
Também revelaremos alguns padrões que simplesmente não deveriam existir em bibliotecas ou aplicativos sensatos, bem como algumas lacunas gritantes em alguns dos controles de segurança relacionados ao Microsoft NTLM.
A Microsoft também está trabalhando na correção de falhas zero-day que poderiam ser exploradas para "desatualizar" sistemas Windows atualizados e reintroduzir vulnerabilidades antigas.
A empresa também disse, no início desta semana, que está considerando corrigir uma falha de bypass do Windows Smart App Control, SmartScreen explorada desde 2018.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...