Vulnerabilidade de dia zero do Microsoft Office abusada para executar o PowerShell
Em 27 de maio de 2022, uma falha de execução remota de código zero-day no Microsoft Office foi descoberta por Nao_Sec (1) e apelidada de "Follina" pelo investigador Kevin Beaumont. Esta vulnerabilidade permite que uma pessoa não autenticada obtenha acesso persistente e assuma o controlo de um sistema alvo remotamente através da exploração de ficheiros descarregados do Microsoft Office. Os piratas informáticos podem utilizá-la para executar comandos maliciosos do PowerShell através da Ferramenta de Diagnóstico da Microsoft (MSDT), mesmo que as macros do Office estejam desactivadas.
"O documento utiliza a funcionalidade de modelo remoto do Word para obter um ficheiro HTML de um servidor Web remoto, que por sua vez utiliza o esquema URI ms-msdt MSProtocol para carregar algum código e executar algum PowerShell", explicou o investigador Kevin Beaumont. "Isso não deveria ser possível". (2)
Em 30 de maio de 2022, a Microsoft emitiu o CVE-2022-30190. As versões 2013, 2016, 2019 e 2021 do Microsoft Office, bem como as edições Professional Plus, são afetadas. No entanto, não há nenhum patch disponível a partir de 1º de junho de 2022.
Nesta publicação do blogue, analisamos a amostra de malware e mostramos-lhe como se pode defender dos ataques.
Visão geral do ataque que abusa do CVE-2022-30190
Ao analisar a amostra, descobrimos que a abordagem de ataque não é nova. O autor da ameaça utilizou um vetor de ataque semelhante ao da campanha que explorou o CVE-2021-40444 em setembro de 2021. Ambos os ataques utilizaram uma ligação externa num ficheiro de relacionamento que conduzia a um ficheiro HTML malévolo.
Usando phishing ou engenharia social, os cibercriminosos entregaram um ficheiro Microsoft Word (.docx) armado às vítimas-alvo e induziram-nas a abri-lo. O ficheiro contém um URL externo que faz referência a um HTML, que tem um código JavaScript invulgar.
Esse JavaScript faz referência a um URL com o esquema ms-msdt: que pode executar um código remoto.
Como evitar o ataque
Em 30 de maio de 2022, a Microsoft publicou orientações sobre soluções alternativas para ajudar os utilizadores a mitigar a vulnerabilidade recentemente exposta (3). Atualmente, desativar o protocolo MSDT URL parece ser a opção mais fácil. No entanto, ainda não está claro qual poderá ser o impacto da desativação do protocolo MSDT URL.
No entanto, se estiver a utilizar OPSWAT MetaDefender com a nossa tecnologia Deep CDR™ (Content Disarm and Reconstruction) líder do setor, não precisa de se preocupar com nada disso. A sua rede e os seus utilizadores estão protegidos contra os ataques, uma vez que todo o conteúdo ativo oculto nos ficheiros maliciosos é desativado pela tecnologia Deep CDR™ antes de chegar aos seus utilizadores.
A seguir, demonstramos como a tecnologia Deep CDR™ lida com o ficheiro malicioso e gera um ficheiro seguro para os seus utilizadores, quer ele tenha sido carregado na sua aplicação web ou recebido como anexo de e-mail.
Neutralizar o ficheiro tóxico do Microsoft Word
Assim que o ficheiro .docx com um URL malicioso entra na rede da sua organização através de e-mails, uploads de ficheiros, etc., MetaDefender o com vários motores antimalware usando OPSWAT e examina o ficheiro em busca de ameaças potenciais, como objetos OLE, hiperligações, scripts, etc. Em seguida, todas as ameaças incorporadas são removidas ou sanitizadas recursivamente, dependendo das configurações da tecnologia Deep CDR™. Conforme mostrado no resultado do processamento do ficheiro, um objeto OLE foi removido e o conteúdo XML foi sanitizado.
Após o processo, o documento .docx já não contém a ligação HTML maliciosa, uma vez que foi substituída por uma ligação "em branco". Como resultado, mesmo que os seus utilizadores internos abram o ficheiro, nenhum malware é carregado e executado.
Ao analisar o ficheiro limpo liberado após o processo com OPSWAT e MetaDefender , podemos ver que o documento está livre de riscos.
Desativar o JavaScript do ficheiro HTML
Caso configure o mecanismo Deep CDR™ Technology para aceitar URLs em ficheiros, continuará totalmente protegido. A Deep CDR™ Technology remove o JavaScript malicioso do ficheiro HTML carregado, pois é considerado uma ameaça potencial. Sem o JavaScript, o código PowerShell não pode ser descarregado e executado. Os seus utilizadores podem abrir e utilizar o ficheiro reconstruído sem ameaças com total usabilidade.
Não confie na deteção
Este novo método de exploração é difícil de detetar porque o malware é carregado a partir de um modelo remoto, pelo que o ficheiro .docx pode contornar a defesa da rede, uma vez que não contém código malicioso (2). Da mesma forma, os cibercriminosos continuam a explorar ativamente vulnerabilidades e a abusar de vários vetores de ataque, aproveitando os programas e funcionalidades do Microsoft Office, como macros, links externos, objetos OLE, etc., para distribuir ou ativar malware. Para uma implementação verdadeiramente zero trust, não se pode confiar num modelo de segurança de detecção para proteção para impedir ataques zero-day. As organizações precisam de uma solução abrangente de prevenção de ameaças para se protegerem contra malware conhecido e desconhecido.
A tecnologia Deep CDR™ é uma solução inovadora e eficaz para derrotar malware evasivo avançado e ataques zero-day. Ela impede os ataques na fase inicial, desativando todos os componentes executáveis suspeitos e, ao mesmo tempo, fornecendo arquivos 100% seguros e livres de ameaças para consumo.
Saiba mais sobre a tecnologia Deep CDR™. Para saber como podemos ajudar a fornecer proteção abrangente à sua organização contra documentos armados, fale agora com um OPSWAT .
Referência
[1] https://twitter.com/nao_sec/status/1530196847679401984
