Mitigação de ações da Microsoft para o dia zero do Office explorada em ataques

A Microsoft compartilhou medidas de mitigação para bloquear ataques que exploram uma falha de dia zero recém-descoberta do Microsoft Office abusada na natureza para executar código malicioso remotamente.

O bug é uma vulnerabilidade de execução remota de código da Microsoft Windows Support Diagnostic Tool (MSDT) relatada por  crazyman  do Shadow Chaser Group.

A Microsoft agora está rastreando como  CVE-2022-30190. A falha afeta todas as versões do Windows que ainda recebem atualizações de segurança (Windows 7+ e Server 2008+).

Como o pesquisador de segurança  nao_sec descobriu, ele é usado por agentes de ameaças para executar comandos maliciosos do PowerShell via MSDT no que Redmond descreve como ataques de Execução de Código Arbitrário (ACE) ao abrir ou  visualizar documentos do Word.

“Um invasor que explorar com sucesso essa vulnerabilidade pode executar código arbitrário com os privilégios do aplicativo de chamada”,  explica a Microsoft.

“O invasor pode então instalar programas, visualizar, alterar ou excluir dados ou criar novas contas no contexto permitido pelos direitos do usuário.”

Solução alternativa disponível

De acordo com Redmond, administradores e usuários podem bloquear ataques que exploram CVE-2022-30190 desabilitando o protocolo de URL MSDT, que agentes mal-intencionados usam para iniciar solucionadores de problemas e executar código em sistemas vulneráveis.

Para desabilitar o protocolo de URL MSDT em um dispositivo Windows, você deve seguir o seguinte procedimento:

  1. Execute  o prompt de comando  como  administrador .
  2. Para fazer backup da chave de registro, execute o comando ” reg export HKEY_CLASSES_ROOT\ms-msdt filename “
  3. Execute o comando ” reg delete HKEY_CLASSES_ROOT\ms-msdt /f “

Depois que a Microsoft lançar um patch CVE-2022-30190, você poderá desfazer a solução alternativa iniciando um prompt de comando elevado e executando o  comando reg import filename  (filename é o nome do backup do registro criado ao desabilitar o protocolo).

O Microsoft Defender Antivirus 1.367.719.0 ou mais recente agora também vem com detecções para possível exploração de vulnerabilidade nas seguintes assinaturas:

  • Trojan:Win32/Mesdetty.A
  • Trojan:Win32/Mesdetty.B
  • Comportamento: Win32/MesdettyLaunch.A
  • Comportamento: Win32/MesdettyLaunch.B
  • Comportamento: Win32/MesdettyLaunch.C

Embora a Microsoft diga que o Protected View e o Application Guard do Microsoft Office bloqueariam os ataques CVE-2022-30190, o analista de vulnerabilidades do CERT/CC Will Dormann (e outros pesquisadores) descobriu que o recurso de segurança não bloqueará tentativas de exploração  se o alvo visualizar os documentos maliciosos em Explorador de janelas.

Portanto, também é aconselhável desabilitar o painel de visualização no Windows Explorer para remover também esse vetor de ataque.

De acordo com o maluco do Shadow Chaser Group, os pesquisadores que primeiro identificaram e relataram o dia zero em abril, a Microsoft primeiro marcou a falha como não relacionado à segurança”.

Os primeiros ataques explorando esse bug de dia zero começaram há mais de um mês e visavam potenciais vítimas de língua russa com convites para entrevistas na Rádio Sputnik .

A BleepingComputer entrou em contato com a Microsoft para obter mais informações sobre essa vulnerabilidade (brincadeira apelidada por  Follina ) e para perguntar por que ela não foi considerada um risco de segurança. Ainda não recebemos uma resposta, mas atualizaremos o artigo assim que a empresa compartilhar uma declaração.

Fonte: https://www.bleepingcomputer.com/