Atenção! Pesquisadores detectam nova exploração do Microsoft Office zero-day.

Pesquisadores de segurança cibernética estão chamando a atenção para uma vulnerabilidade que até agora era desconhecida (um zero-day), no Microsoft Office que pode ser utilizada para obter a execução arbitrária de código nos sistemas Windows afetados.

A vulnerabilidade veio à tona depois que uma equipe independente de pesquisa de segurança cibernética conhecida como no_sec descobriu um documento do Word (” 05-2022-0438.doc “) que foi carregado no VirusTotal de um endereço IP na Bielorrússia.

“Ele usa o link externo do Word para carregar o HTML e, em seguida, usa o esquema ‘ms-msdt’ para executar o código do PowerShell”, observaram os pesquisadores em uma série de tweets na semana passada.

De acordo com o pesquisador de segurança Kevin Beaumont, que apelidou a falha de “Follina”, o maldoc aproveita o recurso de modelo remoto do Word para buscar um arquivo HTML de um servidor, que então usa o esquema de URI “ms-msdt://” para executar o carga maliciosa.

A falha recebeu esse nome porque a amostra maliciosa faz referência a 0438, que é o código de área de Follina, um município da cidade italiana de Treviso.

MSDT é a abreviação de Microsoft Support Diagnostics Tool, um utilitário usado para solucionar problemas e coletar dados de diagnóstico para análise por profissionais de suporte para resolver um problema.

“Há muita coisa acontecendo aqui, mas o primeiro problema é que o Microsoft Word está executando o código via msdt (uma ferramenta de suporte), mesmo que as macros estejam desabilitadas”, explicou Beaumont .

“ O Protected View entra em ação, embora se você alterar o documento para o formato RTF, ele é executado sem abrir o documento (através da guia de visualização no Explorer), muito menos o Protected View”, acrescentou o pesquisador.

Em uma análise independente, a empresa de segurança cibernética Huntress Labs detalhou o fluxo de ataque, observando o arquivo HTML (“RDF842l.html”) que aciona a exploração originada de um domínio agora inacessível chamado “xmlformats[.]com”.

“Um arquivo Rich Text Format (.RTF) pode desencadear a invocação desta exploração apenas com o Painel de Visualização no Windows Explorer”, disse John Hammond, da Huntress Labs . “Muito parecido com o CVE-2021-40444, isso estende a gravidade dessa ameaça não apenas com um ‘clique único’ para explorar, mas potencialmente com um gatilho de ‘clique zero’.”

Várias versões do Microsoft Office, incluindo Office, Office 2016 e Office 2021, são afetadas, embora se espere que outras versões também sejam vulneráveis.

Além disso, Richard Warren, do NCC Group, conseguiu demonstrar uma exploração no Office Professional Pro com patches de abril de 2022 executados em uma máquina Windows 11 atualizada com o painel de visualização ativado.

“A Microsoft precisará corrigi-lo em todas as diferentes ofertas de produtos, e os fornecedores de segurança precisarão de detecção e bloqueio robustos”, disse Beaumont.

Fonte: https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html