Falha deixa Windows 10 e 7 em risco usando arquivos do Microsoft Office
Vulnerabilidade explora documentos do Microsoft Office para baixar malwares no Windows 10, Windows Server 2019 e anteriores
A própria Microsoft confirma: hackers estão tirando proveito de uma vulnerabilidade de execução remota que permite que arquivos do Office sejam usados para atacar computadores que rodam o Windows 10, o Windows Server e versões anteriores desses sistemas operacionais.
- Sites do REvil, ransomware que atacou JBS e outras empresas, voltam ao ar
- 5 dicas de segurança para não cair em golpes do Pix
Identificada como CVE-2021-40444, a falha envolve o MSHTML, motor de renderização desenvolvido para o Internet Explorer, mas que também pode ser usado pelas ferramentas do Office. Trata-se de uma vulnerabilidade zero-day (já explorada, mas ainda sem correção).
Para explorar o problema, tudo o que os atacantes precisam fazer é convencer a vítima a abrir um arquivo do Office que, quando executado, aciona o MSHTML para que uma página web maliciosa seja aberta. Esta, por sua vez, tem um controle ActiveX que baixa um malware.
Várias empresas de segurança digital comprovaram a existência da vulnerabilidade, entre elas, a Expmon, que chegou a divulgar um alerta sobre o problema no Twitter.
Ao BleepingComputer, a empresa relatou que invasores estão explorando a falha usando um arquivo .DOCX contaminado e que o método do ataque é 100% confiável, ou seja, tem chances altíssimas de funcionar.
Servidores que rodam qualquer uma das versões do Windows Server 2008 ao Windows Server 2019 podem ser atacados. O mesmo vale para PCs baseados no Windows 7, Windows 8 e Windows 10.
Falha pode ser mitigada
A vulnerabilidade pode ser explorada a partir do Microsoft 365 ou do Office 2019 e, como você já sabe, ainda não tem correção. Felizmente, o problema pode ser mitigado com certa facilidade.
De acordo com a Microsoft, o ataque pode ser bloqueado se as ferramentas do Office forem executadas com a configuração padrão, que abre documentos da web em um modo de visualização protegida ou por meio da ferramenta de segurança Microsoft Defender Application Guard for Office.
A visualização protegida é uma espécie de modo de leitura que desabilita funções de edição. Já o Application Guard é uma ferramenta com foco corporativo que isola documentos não confiáveis.
Além disso, a ferramenta Segurança do Windows (recurso nativo do Windows 10) e o Microsoft Defender for Endpoint têm mecanismos para impedir a exploração da falha CVE-2021-40444. É de se imaginar que antivírus de terceiros também passem a oferecer alguma proteção contra o problema.
Existe mais uma alternativa de prevenção: desativar os controles ActiveX por meio de um procedimento no Registro do Windows. As instruções para isso estão na página da Microsoft que descreve a vulnerabilidade.
Escrito por