A Microsoft tem se mantido em silêncio sobre uma vulnerabilidade crítica do Windows, não dizendo ao menos se ela será corrigida. Enquanto isso, grupos de hackers continuam a martelar uma antiga falha de zero dia do Windows que torna extraordinariamente fácil a execução de código malicioso em computadores de destino.
Há poucos dias, a empresa de segurança Proofpoint disse (Via: ARSTechnica) que hackers com laços com grupos de estados-nação conhecidos estavam explorando a vulnerabilidade de execução remota de código, apelidada de Follina. A Proofpoint disse que os ataques foram entregues em mensagens de spam maliciosas enviadas a menos de 10 clientes da Proofpoint nos governos europeus e locais dos EUA.
Na última segunda-feira, em um e-mail, a empresa disse: “A Microsoft lançou “soluções alternativas”, mas não um patch completo. Os produtos da Microsoft continuam a ser uma oportunidade rica em alvos para os agentes de ameaças e isso não mudará no curto prazo. Continuamos a liberar detecção e proteção em produtos Proofpoint à medida que aprendemos mais para ajudar nossos clientes a proteger seus ambientes”.
Enquanto isso, a empresa de segurança Kaspersky também rastreou um aumento nas explorações do Follina, com a maioria atingindo os EUA, seguidos pelo Brasil, México e Rússia. “Esperamos ver mais tentativas de exploração do Follina para obter acesso a recursos corporativos, inclusive para ataques de ransomware e violações de dados”, escreveram os pesquisadores da Kaspersky.
Além disso, a CERT Ucrânia também disse que estava rastreando explorações em alvos naquele país que usam e-mail para enviar um arquivo intitulado “mudanças nos salários com accruals.docx” para explorar o Follina.
Popularidade do Follina
Uma razão para o grande interesse é que o Follina não exige o mesmo nível de interação da vítima que os ataques típicos de documentos maliciosos. Normalmente, esses ataques precisam do alvo para abrir o documento e permitir o uso de macros. O Follina, por outro lado, não exige que o destino abra o documento e não há macro para permitir.
O simples ato de o documento aparecer na janela de visualização, mesmo com a visualização protegida ativada, é suficiente para executar scripts maliciosos. Os pesquisadores que desenvolveram um módulo de exploração para a estrutura de hackers Metasploit se referiram a esse comportamento como uma execução remota de código de baixa interação.
Microsoft e a correção dessa vulnerabilidade crítica
A Microsoft demorou a agir sobre a vulnerabilidade desde o início. Um artigo acadêmico publicado em 2020 mostrou como usar o Microsoft Support Diagnostic Tool (MSDT) para forçar um computador a baixar um script malicioso e executá-lo. Então, em abril, pesquisadores do Shadow Chaser Group disseram no Twitter que haviam relatado à Microsoft que uma execução contínua de spam malicioso estava fazendo exatamente isso. Embora os pesquisadores tenham incluído o arquivo usado na campanha, a Microsoft rejeitou o relatório sobre a lógica defeituosa de que o MSDT exigia uma senha para executar cargas úteis.
Finalmente, na terça-feira passada, a Microsoft declarou o comportamento uma vulnerabilidade, dando-lhe o rastreador CVE-2022-30190 e uma classificação de gravidade de 7,8 em 10. A empresa não emitiu um patch e, em vez disso, emitiu instruções para desabilitar o MSDT.
Via: ARSTechnica