Novo ataque 0day direcionado a usuários do Windows com documentos do Microsoft Office

A Microsoft alertou na terça-feira sobre uma falha de dia zero ativamente explorada, afetando o Internet Explorer, que está sendo usado para sequestrar sistemas Windows vulneráveis, aproveitando documentos do Office transformados em armas.

Rastreado como CVE-2021-40444 (pontuação CVSS: 8.8), a falha de execução remota de código está enraizada no MSHTML (também conhecido como Trident), um mecanismo de navegador proprietário para o agora descontinuado Internet Explorer e que é usado no Office para processar conteúdo da web dentro Documentos do Word, Excel e PowerPoint.

“A Microsoft está investigando relatos de uma vulnerabilidade de execução remota de código no MSHTML que afeta Microsoft Windows. A Microsoft tem conhecimento de ataques direcionados que tentam explorar esta vulnerabilidade usando especialmente criados documentos do Microsoft Office”, a empresa disse .

“Um invasor pode criar um controle ActiveX malicioso para ser usado por um documento do Microsoft Office que hospeda o mecanismo de renderização do navegador. O invasor teria então que convencer o usuário a abrir o documento malicioso. Usuários cujas contas estão configuradas para ter menos direitos de usuário no o sistema pode ser menos afetado do que os usuários que operam com direitos de usuário administrativo “, acrescentou.

O fabricante do Windows deu crédito aos pesquisadores da EXPMON e da Mandiant por relatar a falha, embora a empresa não tenha divulgado detalhes adicionais sobre a natureza dos ataques, a identidade dos adversários que exploram este dia zero ou seus alvos à luz de ataques do mundo real .

O EXPMON, em um tweet , notou que encontrou a vulnerabilidade após detectar um “ataque de dia zero altamente sofisticado” direcionado a usuários do Microsoft Office, acrescentando que repassou suas descobertas à Microsoft no domingo. “O exploit usa falhas lógicas, então a exploração é perfeitamente confiável (e perigosa)”, disseram os pesquisadores do EXPMON.

No entanto, vale a pena ressaltar que o ataque atual pode ser suprimido se o Microsoft Office for executado com configurações padrão, em que os documentos baixados da web são abertos no Modo de Exibição Protegido ou Application Guard for Office , que é projetado para evitar que arquivos não confiáveis ​​acessem recursos confiáveis no sistema comprometido.

A Microsoft, após a conclusão da investigação, deverá lançar uma atualização de segurança como parte de seu ciclo de lançamento mensal do Patch Tuesday ou lançar um patch out-of-band “dependendo das necessidades do cliente”. Nesse ínterim, o fabricante do Windows está pedindo aos usuários e organizações que desabilitem todos os controles ActiveX no Internet Explorer para mitigar qualquer ataque potencial.

Fonte: https://thehackernews.com/