Vulnerabilidade Zero-Day Alvo de Usuários do Windows com Documentos do Microsoft Office

A Microsoft anunciou na terça-feira um aviso de segurança identificando uma vulnerabilidade de execução remota de código no MSHTML que afeta o Microsoft Windows ao usar documentos do Microsoft Office especialmente elaborados.

Rastreada como CVE-2021-40444 (pontuação CVSS: 8.8), essa vulnerabilidade de execução remota de código está embutida no MSHTML (também conhecido como Trident), um mecanismo de navegador proprietário para a versão do Microsoft Windows do Internet Explorer, e afeta o Windows Server 2008 até 2019 e o Windows 8.1 até 10.

“Um atacante poderia elaborar um controle ActiveX malicioso para ser usado por um documento do Microsoft Office que hospeda o mecanismo de renderização do navegador. O atacante então teria que convencer o usuário a abrir o documento malicioso”, disse a empresa no aviso de segurança.

“Usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos impactados do que usuários que operam com direitos de usuário administrativos.”

De acordo com a empresa, tanto o Microsoft Defender Antivirus quanto o Microsoft Defender for Endpoint fornecem detecção e proteção para a vulnerabilidade conhecida. Ela aconselhou seus clientes a manter seus produtos antimalware atualizados e aqueles que utilizam atualizações automáticas não precisam tomar ações adicionais.

Clientes empresariais que gerenciam atualizações devem selecionar a versão de detecção 1.349.22.0 ou mais recente e implantá-la em seus ambientes. Alertas do Microsoft Defender for Endpoint serão exibidos como: “Execução de Arquivo Cpl Suspeita”.

A Microsoft disse que, após a conclusão da investigação, tomará as medidas apropriadas para ajudar a proteger seus clientes, o que pode incluir fornecer uma atualização de segurança através de nosso processo de lançamento mensal ou fornecer uma atualização de segurança fora do ciclo, dependendo das necessidades dos clientes.

O gigante de Redmond creditou Rick Cole do Microsoft Threat Intelligence Center (MSTIC), Dhanesh Kizhakkinan, Bryce Abdo e Genwei Jiang da Mandiant, e Haifei Li da EXPMON, pela descoberta da vulnerabilidade.

Andrew Thompson, um analista de ameaças da Mandiant, observou que “detecções robustas focadas no comportamento pós-exploração são uma rede de segurança que permite detectar intrusões envolvendo exploração de zero day.”

A EXPMON disse em um tweet que detectou um “ataque zero-day altamente sofisticado” direcionado a usuários do Microsoft Office.

“Reproduzimos o ataque na versão mais recente do Office 2019/Office 365 no Windows 10 (ambiente típico do usuário), para todas as versões afetadas, por favor, leia o Aviso de Segurança da Microsoft. O exploit usa falhas lógicas, então a exploração é perfeitamente confiável (& perigosa)”, tuitou a empresa.

Enquanto isso, a Microsoft não divulgou informações sobre a natureza dos ataques, seus alvos ou o(s) atacante(s) explorando essa vulnerabilidade zero-day ao público.

Com relação a mitigação e soluções alternativas, a Microsoft sugeriu desabilitar a instalação de todos os controles ActiveX no Internet Explorer, o que pode ser realizado para todos os sites atualizando o registro.

“Controles ActiveX instalados anteriormente continuarão a ser executados, mas não expõem essa vulnerabilidade”, disse o aviso.

“Se você usar o Editor do Registro incorretamente, pode causar problemas sérios que podem exigir que você reinstale seu sistema operacional. A Microsoft não pode garantir que você consiga resolver problemas que resultem do uso incorreto do Editor do Registro.”

Para desabilitar controles ActiveX em um sistema individual:

2. Para desabilitar a instalação de controles ActiveX no Internet Explorer em todas as zonas, cole o seguinte em um arquivo de texto e salve-o com a extensão .reg:

| | Editor do Registro do Windows Versão 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“1001”=dword:00000003
“1004”=dword:00000003 | |

2. Clique duas vezes no arquivo .reg para aplicá-lo ao seu hive de Política.

3. Reinicie o sistema para garantir que a nova configuração seja aplicada.

Essa solução alternativa define o URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) e URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) como DESABILITADO (3) para todas as zonas da internet para processos de 64 bits e 32 bits.

Novos controles ActiveX não serão instalados e os controles ActiveX instalados anteriormente continuarão a ser executados.