Pesquisadores divulgaram publicamente uma vulnerabilidade de dia zero no Microsoft Office que pode ser explorada usando documentos maliciosos do Word para permitir a execução de código no sistema da vítima.
A vulnerabilidade foi inicialmente divulgada por @nao_sec via Twitter em 27 de maio:
“O documento usa o recurso de modelo remoto do Word para recuperar um arquivo HTML de um servidor web remoto, que por sua vez usa o esquema MSProtocol ms-msdt URI para carregar código e executar o PowerShell”, disse o pesquisador Kevin Beaumont. Explique. “Isso não deveria ser possível.”
Beaumont relata que os invasores podem explorar essa vulnerabilidade, que ele apelidou de “Follina”, mesmo que as macros do Office estejam desabilitadas. O Office 2013, 2016, 2019, 2021 e algumas versões do Office incluídas com uma licença do Microsoft 365 estão sujeitos a essa vulnerabilidade no Windows 10 e no Windows 11.
O CEO da Huntress Labs, Kyle Hanslovan, compartilhou uma prova de conceito usando um arquivo rich text para explorar essa vulnerabilidade no painel de visualização no Windows 11 File Explorer:
Tudo isso significa que essa vulnerabilidade fornece uma maneira de executar código em um sistema de destino com um único clique ou, como Hanslovan demonstra, simplesmente visualizando o documento malicioso, usando ferramentas de suporte (ms-msdt) e ferramentas de script. ) instalado no Windows.
Twitter lidar com @crazyman_army Ele diz divulgou essa vulnerabilidade para a Microsoft em 12 de abril, mas a empresa supostamente Ele decidiu Não foi um problema de segurança em 21 de abril.
Beaumont diz que “a Microsoft pode ter tentado corrigir isso ou acidentalmente corrigido no canal Office 365 Insider, sem documentar um CVE ou escrevê-lo em qualquer lugar”, em algum momento de maio.
laboratórios de caçadores Ele diz espera “tentativas de exploração em estado selvagem por meio de entrega baseada em e-mail” e observa que as pessoas “devem estar especialmente vigilantes sobre a abertura de anexos”, enquanto a Microsoft, os fornecedores de antivírus e o restante da segurança da comunidade de antivírus respondem a essa ameaça.
