A Microsoft confirmou, a 7 de setembro de 2021, a ocorrência de uma vulnerabilidade de execução remota de código (RCE) no Windows 10. A vulnerabilidade, classificada como CVE-2021-40444 [1], pode permitir que os cibercriminosos obtenham o controlo remoto de um sistema comprometido e criem ataques de dia zero em ambiente selvagem.
O defeito está no MSHTML, um motor de renderização do Internet Explorer. O motortambém é utilizado em documentos do Microsoft Office. Atualmente, sabe-se que o CVE-2021-40444 é utilizado para distribuir cargas úteis do Cobalt Strike - um quadro de emulação de ameaças frequentemente explorado.
Um investigador da EXPMON identificou este dia zero pela primeira vez num tweet, dizendo: "Os utilizadores do Office devem ser extremamente cautelosos com os ficheiros do Office". Eles relataram o incidente à Microsoft no domingo, 5 de setembro. A Microsoft também lançou um aviso de segurança logo em seguida, sugerindo soluções alternativas enquanto a empresa investiga. Em 14 de setembro, a Microsoft corrigiu a vulnerabilidade [2].
Como os atacantes exploram o CVE-2021-40444
Os cibercriminosos podem criar um controlo ActiveX malicioso dentro de um documento do Microsoft Office (.docx). Este documento actua como anfitrião do motor de renderização do browser MSTHML e de um OLEObject que direciona para uma página Web construída.
O atacante teria então de enganar o seu alvo para abrir este documento. Após a abertura, o motor MSTHML utilizará o controlo ActiveX para executar um ficheiro HTML com scripts ofuscados, seguido do descarregamento de cargas de malware ou controlos de acesso remoto.
A Microsoft observou que os utilizadores com direitos de administrador são mais susceptíveis a esses ataques do que os que não têm ou têm menos direitos de utilizador.
Mitigação e solução alternativa
A Microsoft informou que a desativação de todas as instalações de controlo ActiveX no Internet Explorer pode ajudar a atenuar os ataques actuais. Isto pode ser feito através da configuração da Política de Grupo, actualizando o registo ou utilizando o Editor de Política de Grupo Local.Após a desativação, os novos controlos ActiveX não serão instalados e os controlos ActiveX anteriores continuarão a ser executados.
Como Deep CDR pode proteger contra ataques de dia zero
O Desarmamento e Reconstrução de Conteúdos (CDR) pode ajudar a mitigar os riscos associados a esta vulnerabilidade. Deep CDR assume que todos os ficheiros são maliciosos e, em seguida, higieniza e reconstrói os componentes do ficheiro para garantir a total usabilidade com conteúdo seguro. A tecnologia pode "desarmar" eficazmente todas as ameaças baseadas em ficheiros, ameaças complexas e com reconhecimento de sandbox e ameaças equipadas com tecnologia de evasão de malware, como malware totalmente indetetável ou ofuscação.
Neste caso, a tecnologia Deep CDR remove todos os potenciais objectos de ameaça, como o OLEObject e o ActiveX, do ficheiro do documento. Após a higienização, o documento não contém mais o link HTML malicioso.
As ameaças detectadas pelo MetaDefender Cloud foram verificadas e os resultados suportam acções de sanitização:
Após a higienização, os resultados mostram que o OLEObject foi removido e que é seguro abrir o ficheiro:
Sobre o Deep CDR
A tecnologiaDeep CDR é líder de mercado com recursos superiores, como o processamento de arquivos em vários níveis, a precisão da regeneração de arquivos e o suporte a mais de 100 tipos de arquivos. A nossa tecnologia fornece visões detalhadas do que está a ser higienizado e como os dados são higienizados, permitindo-lhe fazer escolhas informadas e definir configurações para satisfazer os seus casos de utilização. O resultado? Ficheiros seguros com 100% das ameaças eliminadas em milissegundos, para que o seu fluxo de trabalho não seja interrompido.
Para saber mais sobre o Deep CDR e como OPSWAT pode proteger a sua organização, fale com um dos nossos especialistas em cibersegurança de infra-estruturas críticas.
Referências
[1] "Vulnerabilidade de execução remota de código Microsoft MSHTML". 2021. Centro de Resposta de Segurança da Microsoft. https://msrc.microsoft.com/upd...
[2] "Patches da Microsoft exploraram ativamente o RCE de dia zero MSHTML (CVE-2021-40444)". 14 de setembro de 2021. Help Net Security. https://www.helpnetsecurity.co...
