0-day: Documento malicioso explora bug no Microsoft Office e já esta sendo usado por atores maliciosos

Em 27 de maio, um pesquisador que usa o apelido online “nao_sec” relatou no Twitter que havia encontrado um documento malicioso interessante no serviço de verificação de malware VirusTotal. O arquivo malicioso do Word, carregado da Bielorrússia, foi projetado para executar código arbitrário do PowerShell quando aberto.

O malware foi posteriormente analisado por vários outros, incluindo o pesquisador Kevin Beaumont, que publicou uma postagem no blog detalhando suas descobertas no domingo.

“O documento usa o recurso de modelo remoto do Word para recuperar um arquivo HTML de um servidor web remoto, que por sua vez usa o esquema de URI ms-msdt MSProtocol para carregar algum código e executar algum PowerShell”, explicou Beaumont, acrescentando: “Isso não deve ser possível.”

O pesquisador observou que o código é executado mesmo se as macros estiverem desabilitadas – documentos maliciosos do Word são normalmente usados ​​para execução de código por meio de macros. Atualmente, o Microsoft Defender não parece ser capaz de impedir a execução.

“O Protected View entra em ação, embora se você alterar o documento para o formato RTF, ele é executado sem abrir o documento (através da guia de visualização no Explorer), muito menos o Protected View”, disse Beaumont.

O pesquisador decidiu nomear a vulnerabilidade de dia zero como “Follina” porque o arquivo malicioso faz referência a 0438, que é o código de área de Follina, uma vila na Itália.

Aproximadamente um terço dos fornecedores do VirusTotal detectam o documento malicioso no momento da redação.

Beaumont e outros – incluindo Didier Stevens e Rich Warren do NCC Group – confirmaram que a exploração de dia zero do Follina pode ser usada para executar remotamente código arbitrário em sistemas que executam várias versões do Windows e do Office. Ele foi testado no Office Pro Plus, Office 2013, Office 2016 e Office 2021.

Beaumont observou que o exploit não parece funcionar nas versões Insider e Current mais recentes do Office, o que indica que a Microsoft pode estar trabalhando para corrigir a falha ou que algumas modificações precisam ser feitas no exploit.

A SecurityWeek entrou em contato com a Microsoft para comentar e atualizará este artigo se a empresa responder.

Um domínio usado pelo invasor para fins de comando e controle (C&C), xmlformats[.]com, foi hospedado pela Namecheap. A empresa de hospedagem rapidamente “nuked” o domínio depois de ser notificada.

Tanto Warren quanto Beaumont propuseram algumas mitigações em potencial até que correções ou soluções alternativas sejam disponibilizadas.

Fonte: https://www.securityweek.com/