Vulnerabilidade de dia zero do Microsoft Office abusada para executar o PowerShell
Em 27 de maio de 2022, uma falha de execução remota de código zero-day no Microsoft Office foi descoberta por Nao_Sec (1) e apelidada de "Follina" pelo investigador Kevin Beaumont. Esta vulnerabilidade permite que uma pessoa não autenticada obtenha acesso persistente e assuma o controlo de um sistema alvo remotamente através da exploração de ficheiros descarregados do Microsoft Office. Os piratas informáticos podem utilizá-la para executar comandos maliciosos do PowerShell através da Ferramenta de Diagnóstico da Microsoft (MSDT), mesmo que as macros do Office estejam desactivadas.
"O documento utiliza a funcionalidade de modelo remoto do Word para obter um ficheiro HTML de um servidor Web remoto, que por sua vez utiliza o esquema URI ms-msdt MSProtocol para carregar algum código e executar algum PowerShell", explicou o investigador Kevin Beaumont. "Isso não deveria ser possível". (2)
Em 30 de maio de 2022, a Microsoft emitiu o CVE-2022-30190. As versões 2013, 2016, 2019 e 2021 do Microsoft Office, bem como as edições Professional Plus, são afetadas. No entanto, não há nenhum patch disponível a partir de 1º de junho de 2022.
Nesta publicação do blogue, analisamos a amostra de malware e mostramos-lhe como se pode defender dos ataques.
Visão geral do ataque que abusa do CVE-2022-30190
Ao analisar a amostra, descobrimos que a abordagem de ataque não é nova. O autor da ameaça utilizou um vetor de ataque semelhante ao da campanha que explorou o CVE-2021-40444 em setembro de 2021. Ambos os ataques utilizaram uma ligação externa num ficheiro de relacionamento que conduzia a um ficheiro HTML malévolo.
Usando phishing ou engenharia social, os cibercriminosos entregaram um ficheiro Microsoft Word (.docx) armado às vítimas-alvo e induziram-nas a abri-lo. O ficheiro contém um URL externo que faz referência a um HTML, que tem um código JavaScript invulgar.
Esse JavaScript faz referência a um URL com o esquema ms-msdt: que pode executar um código remoto.
Como evitar o ataque
Em 30 de maio de 2022, a Microsoft publicou orientações sobre soluções alternativas para ajudar os utilizadores a mitigar a vulnerabilidade recentemente exposta (3). Atualmente, desativar o protocolo URL MSDT parece ser a opção mais fácil. No entanto, ainda não é claro qual poderá ser o impacto da desativação do protocolo URL MSDT.
No entanto, se estiver a utilizar o OPSWAT MetaDefender com a nossa solução líder de mercado Deep CDR (Desarmamento e Reconstrução de Conteúdos), não tem de se preocupar com tudo isto. A sua rede e os seus utilizadores estão a salvo dos ataques, uma vez que todo o conteúdo ativo escondido nos ficheiros nocivos é desativado por Deep CDR antes de chegar aos seus utilizadores.
De seguida, demonstramos como o Deep CDR trata o ficheiro malicioso e gera um ficheiro seguro para os seus utilizadores, quer tenha sido carregado para a sua aplicação Web ou recebido como anexo de um e-mail.
Neutralizar o ficheiro tóxico do Microsoft Word
Assim que o ficheiro .docx com um URL malicioso entra na rede da sua organização através de e-mails, uploads de ficheiros, etc., o MetaDefender analisa-o com vários motores anti-malware utilizando o OPSWAT Metascan e examina o ficheiro em busca de potenciais ameaças, tais como objectos OLE, hiperligações, scripts, etc. De seguida, todas as ameaças incorporadas são removidas ou sanitizadas recursivamente, dependendo das configurações do Deep CDR . Como mostra o resultado do processamento do nosso ficheiro, um objeto OLE foi removido e o conteúdo XML foi higienizado.
Após o processo, o documento .docx já não contém a ligação HTML maliciosa, uma vez que foi substituída por uma ligação "em branco". Como resultado, mesmo que os seus utilizadores internos abram o ficheiro, nenhum malware é carregado e executado.
Ao analisar o ficheiro limpo libertado após o processo com OPSWAT Metascan e MetaDefender Sandbox , podemos ver que o documento não apresenta riscos.
Desativar o JavaScript do ficheiro HTML
Se configurar o motor Deep CDR para aceitar URLs em ficheiros, continua a estar completamente protegido. O Deep CDR remove o JavaScript malicioso no ficheiro HTML carregado porque é considerado uma potencial ameaça. Sem o JavaScript, o código do PowerShell não pode ser descarregado e executado. Os seus utilizadores podem abrir e utilizar o ficheiro reconstruído livre de ameaças com total usabilidade.
Não confie na deteção
Este novo método de exploração é difícil de detetar porque o malware é carregado a partir de um modelo remoto, pelo que o ficheiro .docx pode contornar a defesa da rede, uma vez que não contém código malicioso (2). Do mesmo modo, os cibercriminosos continuam a explorar ativamente as vulnerabilidades e a abusar de vários vectores de ataque, tirando partido dos programas e funcionalidades do Microsoft Office, como macros, ligações externas, objectos OLE, etc., para distribuir ou desencadear malware. Para uma verdadeira implementação de confiança zero, não se pode confiar num modelo de segurança de deteção para proteção para evitar ataques de dia zero. As organizações precisam de uma solução abrangente de prevenção de ameaças para as proteger de malware conhecido e desconhecido.
Deep CDR é uma solução inovadora e eficaz para derrotar malware evasivo avançado e ataques de dia zero. Pára os ataques na fase inicial, desarmando todos os componentes executáveis suspeitos e, ao mesmo tempo, fornecendo ficheiros de consumo seguro 100% livres de ameaças.
Saiba mais sobre a tecnologiaDeep CDR . Para ver como podemos ajudar a fornecer uma proteção abrangente à sua organização contra documentos transformados em armas, fale agora com um especialista da OPSWAT .
Referência
[1] https://twitter.com/nao_sec/status/1530196847679401984
