Uma falha no Microsoft Office, descoberta por pesquisadores de segurança independentes, pode facilitar a execução remota de códigos maliciosos a partir de uma simples abertura de documento no Word. O bug, considerado de alta gravidade, foi confirmado pela Microsoft nessa segunda-feira (30).
Inicialmente batizada de “Follina”, a vulnerabilidade afeta a Ferramenta de Diagnóstico da Microsoft (MSDT), utilizada pelos invasores para a execução de comandos PowerShell maliciosos. Ela se caracteriza por não exigir privilégios elevados para ser explorada e pela facilidade de driblar a detecção do Windows Defender.
Além disso, não depende de macros ou outros elementos normalmente utilizados em ataques virtuais, necessitando apenas da abertura de um arquivo no Word. Daí em diante, links externos do editor de textos são aproveitados para a execução dos códigos remotamente.
Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022
Há ainda a possibilidade de executar os comandos PowerShell até mesmo sem a abertura de um documento, de acordo com o especialista Kevin Beaumont. Para tanto, basta que o cibercriminoso modifique o formato do arquivo para Rich Text Format (RTF), ação que também evita a detecção do invasor por recursos de segurança presentes no software.
Correção ainda não disponível
Apesar de apontada como de alta severidade pelos especialistas, a vulnerabilidade Follina não chegou a ser considerada como tal pela Microsoft, a princípio. Conforme o BleepingComputer, a big tech foi alertada sobre o bug em abril mas teria descartado a notificação, afirmando não se tratar de um problema relacionado à segurança.
No entanto, a dona do Windows agora já reconhece a falha e deu um código a ela: CVE-2022-30190. O bug ainda não tem correção disponível, sendo necessário tomar cuidados como desabilitar o protocolo URL MSDT e ativar a proteção na nuvem do Microsoft Defender Antivirus para mitigar os riscos de ataques — veja mais detalhes na página da Microsoft.
Os responsáveis por detectar o bug afirmam que ele afeta as versões 2013, 2016 e 2021 do Office, além da variante Professional Plus. Nem mesmo as edições instaladas no Windows 11 e atualizadas recentemente estão livres dos riscos, que incluem o roubo de credenciais e a instalação de malwares após a exploração.
Fontes