Microsoft não se posiciona sobre vulnerabilidade crítica do Windows não corrigida

Funcionários da Microsoft terão de pensar duas vezes antes de aumentar despesas

A Microsoft tem se mantido em silêncio sobre uma vulnerabilidade crítica do Windows, não dizendo ao menos se ela será corrigida. Enquanto isso, grupos de hackers continuam a martelar uma antiga falha de zero dia do Windows que torna extraordinariamente fácil a execução de código malicioso em computadores de destino.

Há poucos dias, a empresa de segurança Proofpoint disse (Via: ARSTechnica) que hackers com laços com grupos de estados-nação conhecidos estavam explorando a vulnerabilidade de execução remota de código, apelidada de Follina. A Proofpoint disse que os ataques foram entregues em mensagens de spam maliciosas enviadas a menos de 10 clientes da Proofpoint nos governos europeus e locais dos EUA.

Na última segunda-feira, em um e-mail, a empresa disse: “A Microsoft lançou “soluções alternativas”, mas não um patch completo. Os produtos da Microsoft continuam a ser uma oportunidade rica em alvos para os agentes de ameaças e isso não mudará no curto prazo. Continuamos a liberar detecção e proteção em produtos Proofpoint à medida que aprendemos mais para ajudar nossos clientes a proteger seus ambientes”.

Enquanto isso, a empresa de segurança Kaspersky também rastreou um aumento nas explorações do Follina, com a maioria atingindo os EUA, seguidos pelo Brasil, México e Rússia. “Esperamos ver mais tentativas de exploração do Follina para obter acesso a recursos corporativos, inclusive para ataques de ransomware e violações de dados”, escreveram os pesquisadores da Kaspersky.

microsoft-nao-se-posiciona-sobre-vulnerabilidade-critica-do-windows-nao-corrigida

Além disso, a CERT Ucrânia também disse que estava rastreando explorações em alvos naquele país que usam e-mail para enviar um arquivo intitulado “mudanças nos salários com accruals.docx” para explorar o Follina.

Popularidade do Follina

Uma razão para o grande interesse é que o Follina não exige o mesmo nível de interação da vítima que os ataques típicos de documentos maliciosos. Normalmente, esses ataques precisam do alvo para abrir o documento e permitir o uso de macros. O Follina, por outro lado, não exige que o destino abra o documento e não há macro para permitir.

O simples ato de o documento aparecer na janela de visualização, mesmo com a visualização protegida ativada, é suficiente para executar scripts maliciosos. Os pesquisadores que desenvolveram um módulo de exploração para a estrutura de hackers Metasploit se referiram a esse comportamento como uma execução remota de código de baixa interação.

Microsoft e a correção dessa vulnerabilidade crítica

A Microsoft demorou a agir sobre a vulnerabilidade desde o início. Um artigo acadêmico publicado em 2020 mostrou como usar o Microsoft Support Diagnostic Tool (MSDT) para forçar um computador a baixar um script malicioso e executá-lo. Então, em abril, pesquisadores do Shadow Chaser Group disseram no Twitter que haviam relatado à Microsoft que uma execução contínua de spam malicioso estava fazendo exatamente isso. Embora os pesquisadores tenham incluído o arquivo usado na campanha, a Microsoft rejeitou o relatório sobre a lógica defeituosa de que o MSDT exigia uma senha para executar cargas úteis.

Finalmente, na terça-feira passada, a Microsoft declarou o comportamento uma vulnerabilidade, dando-lhe o rastreador CVE-2022-30190 e uma classificação de gravidade de 7,8 em 10. A empresa não emitiu um patch e, em vez disso, emitiu instruções para desabilitar o MSDT.

Via: ARSTechnica