Na última terça-feira (7), a Microsoft compartilhou uma importante correção temporária para uma vulnerabilidade zero-day encontrada no Windows. A falha tem permitido que arquivos do Office 365 e Office 2019 executem códigos remotos de versões do sistema operacional para comprometer os dispositivos das vítimas com malware.

Identificada como CVE-2021-40444, a vulnerabilidade afeta computadores com Windows 7, 8.1 ou 10 e que estejam rodando versões do Windows Server de 2008 a 2019. Em uma escala de zero a 10, a big tech enquadra o nível do problema de segurança zero-day — termo utilizado para falhas não corrigidas — em 8,8.

Basicamente, a falha está no MSHTML: mecanismo de renderização desenvolvido para o Internet Explorer que também é usado por documentos do Microsoft Office. Esses documentos são modificados para serem executados no navegador e um controle ActiveX permite o download de um malware no computador da vítima.

“Um invasor pode criar um controle ActiveX malicioso para ser usado por um documento do Microsoft Office que hospeda o mecanismo de renderização do navegador. O invasor teria então que convencer o usuário a abrir o documento malicioso”, disse o comunicado da Microsoft.

Ilustração de tecla com o logo do Windows, da Microsoft

Microsoft considera vulnerabilidade encontrada em versões do Windows como “gravíssima”. Foto: Tadas Sar/Unsplash

A vulnerabilidade chegou a ser reportada por diversos pesquisadores de segurança cibernética de empresas como EXPMON, Mandiant e Microsoft Security Intelligence.

Ao Bleeping Computer, Haifei Li, pesquisador da EXPMON, disse que reproduziu os ataques por meio de um documento Word do Office 2019 e Office 365 no Windows 10. Segundo o especialista, o método utilizado é bem verossímil, o que torna o ataque ainda mais perigoso.

Mitigações anunciadas pela Microsoft

Enquanto a vulnerabilidade não é corrigida, a Microsoft anunciou formas para mitigar as ameaças. Os ataques podem ser impedidos se o Microsoft Office for executado com a configuração padrão. Isso porque os documentos serão abertos nos modos de “Visualização Protegida” ou “Application Guard”.

O primeiro baseia-se em um modo somente de leitura, que desabilita a maioria das funções e ferramentas de edição do documento. Já o segundo isola documentos não confiáveis, negando-lhes acesso a recursos corporativos, intranet ou outros arquivos no sistema.

Além disso, o antivírus nativo do Windows (Windows Defender) e o Defender for Endpoint da Microsoft (versão 1.349.22.0 ou superior) oferecem proteção contra a exploração CVE-2021-40444. Quando detectada, o sistema exibirá um alerta sobre o ataque envolvendo uma suspeita de “Execução de arquivo Cpl”.

Ainda existe a alternativa de desabilitar os controles ActiveX enquanto a big tech não disponibiliza uma atualização contra a vulnerabilidade. O passo a passo para o método, por meio de um procedimento no Registro do Windows, está disponível por meio deste link.

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Inscrever-se
Notificar de
0 Comentários
Feedbacks embutidos
Ver todos os comentários