Princípios importantes
- Um novo ataque de clique zero do Windows que pode comprometer as máquinas sem qualquer ação do usuário foi observado na natureza.
- A Microsoft reconheceu o problema e lançou etapas de correção, mas o bug ainda não tem um patch oficial.
- Pesquisadores de segurança veem o bug sendo explorado ativamente e esperam mais ataques em um futuro próximo.
Os hackers encontraram uma maneira de invadir um computador Windows simplesmente enviando um arquivo malicioso especialmente criado.
Apelidado de Follina, o bug é bastante sério, pois pode permitir que hackers assumam controle total sobre qualquer sistema Windows apenas enviando um documento modificado do Microsoft Office. Em alguns casos, as pessoas nem precisam abrir o arquivo, pois a visualização do arquivo do Windows é suficiente para acionar os bits desagradáveis. Notavelmente, a Microsoft reconheceu o bug, mas ainda não lançou uma correção oficial para anulá-lo.
"Esta vulnerabilidade ainda deve estar no topo da lista de coisas para se preocupar", escreveu o Dr. Johannes Ullrich, Reitor de Pesquisa do SANS Technology Institute, no boletim semanal da SANS. "Embora os fornecedores de anti-malware estejam atualizando rapidamente as assinaturas, eles são inadequados para proteger contra a ampla variedade de explorações que podem tirar proveito dessa vulnerabilidade."
Visualizar para comprometer
A ameaça foi detectada pela primeira vez por pesquisadores de segurança japoneses no final de maio, cortesia de um documento malicioso do Word.
O pesquisador de segurança Kevin Beaumont desvendou a vulnerabilidade e descobriu que o arquivo.doc carregava um código HTML espúrio, que então chama a Ferramenta de Diagnóstico da Microsoft para executar um código do PowerShell, que por sua vez executa a carga maliciosa.
O Windows usa a Microsoft Diagnostic Tool (MSDT) para coletar e enviar informações de diagnóstico quando algo der errado com o sistema operacional. Os aplicativos chamam a ferramenta usando o protocolo especial de URL MSDT (ms-msdt://), que Follina pretende explorar.
"Esta exploração é uma montanha de explorações empilhadas umas sobre as outras. No entanto, infelizmente é fácil de recriar e não pode ser detectada por antivírus ", escreveram defensores da segurança no Twitter.
Em uma discussão por e-mail com a Lifewire, Nikolas Cemerikic, engenheiro de segurança cibernética da Immersive Labs, explicou que o Follina é único. Ele não segue o caminho usual de uso indevido de macros de escritório, e é por isso que pode até causar estragos para pessoas que desabilitaram macros.
"Por muitos anos, o phishing por e-mail, combinado com documentos maliciosos do Word, tem sido a maneira mais eficaz de obter acesso ao sistema de um usuário", destacou Cemerikic. "O risco agora é aumentado pelo ataque Follina, pois a vítima só precisa abrir um documento ou, em alguns casos, visualizar uma visualização do documento através do painel de visualização do Windows, eliminando a necessidade de aprovar avisos de segurança."
A Microsoft foi rápida em lançar algumas medidas de remediação para mitigar os riscos representados pelo Follina. “As mitigações disponíveis são soluções confusas que o setor não teve tempo de estudar o impacto”, escreveu John Hammond, pesquisador sênior de segurança da Huntress, no blog de mergulho profundo da empresa sobre o bug. "Eles envolvem a alteração de configurações no Registro do Windows, o que é um negócio sério porque uma entrada incorreta do Registro pode bloquear sua máquina."
Esta vulnerabilidade ainda deve estar no topo da lista de coisas para se preocupar.
Embora a Microsoft não tenha lançado um patch oficial para corrigir o problema, há um não oficial do projeto 0patch.
Falando sobre a correção, Mitja Kolsek, cofundadora do projeto 0patch, escreveu que, embora fosse simples desabilitar completamente a ferramenta de diagnóstico da Microsoft ou codificar as etapas de correção da Microsoft em um patch, o projeto foi para uma abordagem diferente, pois ambas as abordagens afetariam negativamente o desempenho da Ferramenta de diagnóstico.
Está apenas começando
Os fornecedores de segurança cibernética já começaram a ver a falha sendo explorada ativamente contra alguns alvos de alto perfil nos EUA e na Europa.
Embora todas as explorações atuais pareçam usar documentos do Office, o Follina pode ser abusado por outros vetores de ataque, explicou Cemerikic.
Explicando por que ele acreditava que Follina não iria embora tão cedo, Cemerikic disse que, como acontece com qualquer grande exploração ou vulnerabilidade, os hackers eventualmente começam a desenvolver e liberar ferramentas para ajudar nos esforços de exploração. Isso basicamente transforma essas explorações bastante complexas em ataques de apontar e clicar.
"Os invasores não precisam mais entender como o ataque funciona ou encadear uma série de vulnerabilidades, tudo o que eles precisam fazer é clicar em 'executar' em uma ferramenta", disse Cemerikic.
Ele argumentou que isso é exatamente o que a comunidade de segurança cibernética testemunhou na semana passada, com uma exploração muito séria sendo colocada nas mãos de invasores menos capazes ou sem instrução e script kiddies.
"Com o passar do tempo, quanto mais essas ferramentas se tornarem disponíveis, mais o Follina será usado como um método de entrega de malware para comprometer as máquinas alvo ", alertou Cemerikic, pedindo às pessoas que corrijam suas máquinas Windows sem demora.
