A Microsoft emitiu um alerta sobre uma vulnerabilidade Zero Day que permite a execução remota de código através de um arquivo Microsoft Office malicioso. Este ataque vem em um momento em que o Brasil é o país com o maior número de ataques de phishing do mundo e onde as vulnerabilidades de execução remota estão sendo favorecidas pelos atacantes. “A adoção do ecossistema de soluções Microsoft no nosso país é muito grande, sendo a base de empresas de todos os portes, em todas as regiões. Uma vulnerabilidade Zero Day como essa é uma porta aberta ao perigo” explica Filipe Pinheiro, Engenheiro Sênior de Cibersegurança da Tenable Brasil.
Scott Caveza, Diretor de Engenharia de Pesquisa da Tenable, explica: “Aproveitando um dos feriados mais populares nos Estados Unidos – Labor Day, dia 6 de setembro –, os cibercriminosos começaram a atacar uma vulnerabilidade Zero Day do Microsoft Windows. Os atacantes podem explorar esta vulnerabilidade enviando às vítimas um documento manipulado do Microsoft Office, enviado junto com mensagens que tentam levar as pessoas a abrir o anexo. A Microsoft emitiu um aviso de alerta sobre esta vulnerabilidade e de tentativas ativas de explorar a falha”.
Este ataque, que exige a interação dos usuários, vem em um momento em que os ataques de phishing estão aumentando. É provável que os cibercriminosos produzam e-mails personalizados ou tentem tirar proveito dos eventos atuais para alcançar uma taxa de sucesso maior. CVE-2021-40444 é uma vulnerabilidade de execução de código remoto (RCE) em MSHTML, (também conhecido como Trident) o motor HTML usado pelo Internet Explorer.
Enquanto essa vulnerabilidade não for corrigida, os brasileiros devem estar atentos para evitar a abertura de e-mails ou anexos de usuários desconhecidos. A Microsoft alega que o Protected View ou Application Guard for Office impedirá que o ataque seja executado com sucesso. Além disso, há uma solução que desabilita os controles ActiveX no Internet Explorer para mitigar a superfície de ataque até que um remendo esteja oficialmente disponível”, concluiu ele.
A Tenable recomenda as seguintes ações a empresas e usuários:
Para organizações:
1) Conscientizar os funcionários de que isto está acontecendo.
2) Além disso, as organizações podem desativar a instalação de todos os controles ActiveX no Internet Explorer, o que mitiga este ataque.
Para usuários:
1) Esteja atento às tentativas de phishing. Não abrir e-mails ou anexos de usuários desconhecidos.
2) Manter todo o software instalado atualizado.
3) Assegure-se de ter anti-malware e de que ele esteja atualizado.
