Vulnerabilidade encontrada em documentos do Office deixa usuários do Windows em risco

Imagem de: Vulnerabilidade encontrada em documentos do Office deixa usuários do Windows em risco

A Microsoft identificou uma vulnerabilidade de execução remota de código no MSHTML que afeta o Windows usando documentos do Office.

A empresa publicou um comunicado nesta terça-feira (7) para alertar os usuários sobre os risco da vulnerabilidade Zero-Day encontrada nos documentos do Microsoft Office.

Rastreada como "CVE-2021-40444" (pontuação CVSS: 8.8), esta vulnerabilidade de execução remota de código está incorporada no MSHTML (também conhecido como Trident).

O MSHTML é um mecanismo de navegador para os proprietários do Windows que usa o Internet Explorer e está presente no Windows Server 2008 a 2019 e o Windows 8,1 a 10.

"Um invasor pode criar um controle ActiveX malicioso para ser usado por um documento do Microsoft Office que hospeda o mecanismo de renderização do navegador. O invasor tem que convencer o usuário a abrir o documento malicioso", disse a empresa no comunicado de segurança.

"Os usuários cujas contas são configuradas com menos direitos de usuário no sistema podem ser menos afetados do que os usuários que operam com direitos de usuário administrativo", acrescentou.

De acordo com a empresa, o antivírus Microsoft Defender e o Microsoft Defender for Endpoint podem detectar e proteger conta essa vulnerabilidade.

Mas, aconselhou seus clientes a manter seus produtos antimalware atualizados e aqueles que utilizam atualizações automáticas não precisam realizar nenhuma ação adicional.

Os clientes corporativos que gerenciam atualizações devem selecionar a compilação de detecção 1.349.22.0 ou mais recente e implantá-la em seus dispositivos.

Os alertas do Microsoft Defender for Endpoint para este tipo de malware estão sendo exibidos como: "Suspicious Cpl File Execution".

A Microsoft disse que após a conclusão da investigação, tomará as medidas necessárias para ajudar a proteger seus clientes.

Isso pode incluir o fornecimento de uma atualização de segurança por meio de um processo de lançamento mensal ou o fornecimento de uma atualização de segurança fora do ciclo, dependendo das necessidades do cliente.

A fabricante do Windows atribuiu a Rick Cole do Microsoft Threat Intelligence Center (MSTIC), Dhanesh Kizhakkinan, Bryce Abdo e Genwei Jiang da Mandiant e Haifei Li da EXPMON, a descoberta da vulnerabilidade.

Andrew Thompson, analista de ameaças da Mandiant, observou que "detecções robustas focadas no comportamento pós-exploração são uma rede de segurança que permite detectar intrusões envolvendo exploração de dia zero".

O EXPMON disse em um tweet que detectou um "ataque de dia zero altamente sofisticado" direcionado aos usuários do Microsoft Office.

"Reproduzimos o ataque no último Office 2019 / Office 365 no Windows 10 (ambiente de usuário típico), para todas as versões afetadas, leia o Comunicado de Segurança da Microsoft. A exploração usa falhas lógicas para que a exploração seja perfeitamente confiável (e perigosa)" tuitou a empresa.

Enquanto isso, a Microsoft não divulgou informações sobre a natureza dos ataques, seus alvos ou o(s) invasor(es) que exploram essa vulnerabilidade Zero-Day ao público.

Com relação às atenuações e soluções alternativas, a Microsoft sugeriu desabilitar a instalação de todos os controles ActiveX no Internet Explorer, o que pode ser feito para todos os sites atualizando o registro.

"Os controles ActiveX instalados anteriormente continuarão a funcionar, mas não expõem essa vulnerabilidade", disse o comunicado.

"Se você usar o Editor do Registro incorretamente, pode causar sérios problemas que podem exigir a reinstalação do sistema operacional. A Microsoft não pode garantir que você possa resolver problemas resultantes do uso incorreto do Editor do Registro", acrescentou.

Como desativar o ActiveX no Windows

  • 1. Para desativar a instalação de controles ActiveX no Internet Explorer em todas as zonas, cole o código abaixo em um arquivo de texto e salve-o com a extensão de arquivoreg (exemplo: DesativarActiveX.reg):

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] "1001"=dword:00000003
    "1004"=dword:00000003
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] "1001"=dword:00000003
    "1004"=dword:00000003
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] "1001"=dword:00000003
    "1004"=dword:00000003
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] "1001"=dword:00000003
    "1004"=dword:00000003

  • 2. Em seguida, localize o arquivoreg e clique duas vezes para aplicar as configurações no sistema e vá clicando em "Ok" até o processo encerrar.
  • 3. Para garanti que as configurações foram aplicadas, reinicie o sistema operacional.

Esta solução alternativa define "URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001)" e "URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004)" para DISABLED (3) para todas as zonas do Internet Explorer para processos de 64 e 32 bits.

Além disso, os novos controles ActiveX não serão instalados e os controles ActiveX instalados anteriormente continuarão em execução.

Via: Microsoft