Microsoft Adverte Que Vulnerabilidade Zero-day do Office Pode Levar a Vazamento de Dados

A Microsoft divulgou uma vulnerabilidade zero-day de alta gravidade que afeta vários produtos do Office e do 365 Enterprise, para a qual um patch ainda está em desenvolvimento.

A vulnerabilidade rastreada como CVE-2024-38200 é causada por uma fraqueza de divulgação de informações que os hackers podem facilmente explorar para roubar dados privados e protegidos de indivíduos ou organizações, incluindo status do sistema e dados de ambiente ou configuração, status e dados de configuração da rede, ou metadados de conexão.

A vulnerabilidade zero-day (CVE-2024-38200) afeta os seguintes produtos:

• Microsoft Office 2016 (32-bit & 64-bit)

• Microsoft Office 2019 (32-bit & 64-bit)

• Microsoft Office LTSC 2021 (32-bit & 64-bit)

• Microsoft 365 Apps for Enterprise (32-bit & 64-bit)

De acordo com a avaliação de explorabilidade da Microsoft, a probabilidade de exploração da CVE-2024-38200 é “menos provável”, mas a MITRE sugeriu que as chances de exploração para esse tipo de fraqueza são altas.

“Em um cenário de ataque baseado na web, um atacante poderia hospedar um site (ou aproveitar um site comprometido que aceita ou hospeda conteúdo fornecido pelo usuário) que contém um arquivo especialmente elaborado para explorar a vulnerabilidade”, explica o aviso da Microsoft.

“No entanto, um atacante não teria como forçar o usuário a visitar o site. Em vez disso, um atacante teria que convencer o usuário a clicar em um link, tipicamente por meio de um atrativo em um e-mail ou mensagem de Mensageiro Instantâneo, e então convencer o usuário a abrir o arquivo especialmente elaborado.”

Atualmente, a Microsoft está desenvolvendo atualizações de segurança para abordar essa vulnerabilidade zero-day, mas ainda não anunciou uma data de lançamento.

A Microsoft atribuiu a descoberta da CVE-2024-38200 a Jim Rush, um consultor de segurança da PrivSec Consulting, e Metin Yunus Kandemir, um membro da Synack Red Team.

Mais informações sobre essa vulnerabilidade serão fornecidas por Rush em sua próxima palestra na Defcon intitulada “NTLM – A última viagem”, disse Peter Jakowetz, Diretor Geral da PrivSec, ao BleepingComputer.

“Haverá uma análise profunda sobre vários novos bugs que divulgamos à Microsoft (incluindo a contornação de uma correção para uma CVE existente), algumas técnicas interessantes e úteis, combinando técnicas de várias classes de bugs resultando em algumas descobertas inesperadas e alguns bugs absolutamente cozidos. Também vamos descobrir alguns padrões que simplesmente não deveriam existir em bibliotecas ou aplicações sensatas, bem como algumas lacunas gritantes em alguns dos controles de segurança relacionados ao NTLM da Microsoft”, explica Rush.

Além disso, a Microsoft também está trabalhando para resolver falhas zero-day que poderiam forçar softwares totalmente atualizados a reverter para uma versão anterior com vulnerabilidades conhecidas e exploráveis.

No início desta semana, a empresa também anunciou que está trabalhando na correção de um bypass do Windows Smart App Control, SmartScreen que tem sido explorado na natureza desde 2018.