Vulnerabilidades antigas em Word e Excel continuam como desafio persistente de cibersegurança.
A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, realizou uma análise detalhada sobre três vulnerabilidades (CVEs – Common Vulnerabilities and Exposures) antigas e conhecidas usadas em Microsoft Word e Microsoft Excel, apresentando as estatísticas sobre setores e países atacados.
A equipe da CPR destaca também as cargas úteis (payloads) entregues por MalDocs (Malicious Documents – técnica que usa arquivos PDF e Word para infectar PCs), tendo investigado as “iscas” usadas em diferentes campanhas de ataque. “Descrevemos vários truques que podem ajudar MalDocs a enganar sandboxes automatizadas, mesmo que as vulnerabilidades usadas sejam bem conhecidas e antigas”, diz Alexander Chailytko, gerente de segurança cibernética, pesquisa e inovação da Check Point Research (CPR).
No mundo em constante evolução da segurança cibernética, novas ameaças surgem diariamente. No entanto, algumas vulnerabilidades antigas, especificamente no Microsoft Word e no Excel, continuam a representar riscos significativos. Isso inclui as vulnerabilidades CVE-2017-11882, CVE-2017-0199 e CVE-2018-0802, que ainda são efetivamente utilizadas em ciberataques, apesar de não serem vulnerabilidades de dia zero.
Uso por malwares notáveis
Essas vulnerabilidades têm desempenhado um papel fundamental na propagação de várias famílias de malwares. Por exemplo, o malware Dridex explorou o CVE-2017-0199 em 2017, enquanto os malwares GuLoader e Agent Tesla utilizaram a CVE-2017-11882 em anos subsequentes. Outro exemplo inclui o grupo Gamaredon APT explorando a CVE-2017-0199 em 2023. Esses ataques visam principalmente setores com alto potencial de lucro, como bancos, governo e saúde.
Dificuldades na detecção
Apesar de serem conhecidos há vários anos, esses MalDocs frequentemente escapam das redes de segurança, pois empregam diversas técnicas para evitar detecção, incluindo criptografia, URLs peculiares e ofuscação de shellcode. Isso os torna particularmente desafiadores para sistemas de segurança automatizados os detectarem e neutralizarem.
Insights sobre setores e países atacados
O uso de MalDocs aproveitando vulnerabilidades antigas tem sido notavelmente prevalente em setores nos quais há potencial significativo de exploração de dados e ganhos financeiros. Esses setores incluem:
Finanças/Bancos: Dados financeiros sensíveis tornam este setor um alvo principal para cibercriminosos. Os ataques de malware muitas vezes visam roubar credenciais, manipular transações ou obter acesso direto a recursos financeiros.
Órgãos Governamentais: Esses ataques geralmente se concentram na extração de informações confidenciais do estado, na interrupção de serviços públicos ou em espionagem.
Saúde: Com acesso a informações pessoais de saúde e infraestrutura crítica, este setor é vulnerável a ransomware e roubo de dados.
“Os MalDocs foram projetados para fornecer payloads que estão no topo das listas de malwares prevalentes, indicando uma abordagem estratégica e direcionada pelos atacantes. Esses payloads frequentemente fazem parte de campanhas mais extensas com objetivos específicos, seja ganho financeiro, roubo de dados ou interrupção de serviços”, explica Chailytko.
Vulnerabilidades antigas em Word e Excel continuam como desafio persistente de cibersegurança
O especialista chama atenção ainda sobre a dispersão geográfica desses ataques que também é notável. Embora a análise da CPR não forneça detalhes específicos sobre cada país afetado, os pesquisadores observam que países com importância econômica ou geopolítica significativa têm mais probabilidade de serem alvos. Isso pode ser devido ao maior valor dos dados ou sistemas nessas regiões ou à sua importância nos assuntos globais.
Os payloads entregues por esses MalDocs incluem vários tipos de malware, cada um projetado para fins específicos:
. Trojans Bancários como Dridex: Destinados a roubar credenciais bancárias.
. Downloaders como GuLoader: Usados para instalar software malicioso adicional.
. Infostealers (ladrões de informações) como Agent Tesla e Formbook: Projetados para extrair informações sensíveis como credenciais de login e dados pessoais.
Diferentes campanhas de ataque
As iscas usadas nessas campanhas são cuidadosamente elaboradas para atrair o alvo a abrir o MalDoc. Essas iscas podem ser:
. E-mails imitando comunicações legítimas: parecendo ser de fontes confiáveis, como bancos ou órgãos governamentais.
. Temas Atuais: aproveitando eventos atuais ou tópicos em alta para despertar curiosidade ou urgência.
. Conteúdo Personalizado: adaptado aos interesses ou atividades do alvo, com base em informações coletadas.
Truques para enganar sandboxes automatizadas
Apesar da idade dessas CVEs, os MalDocs evoluíram para burlar as defesas de segurança modernas, especialmente as sandboxes automatizadas, por meio de várias técnicas:
. Ofuscação de Código Malicioso: Uso de técnicas como criptografia e codificação para ocultar a verdadeira natureza do código.
. Uso de URLs e Nomes de Domínio com Aparência Legítima: Para evitar levantar suspeitas em sistemas automatizados.
. Shellcode com Instruções de “Lixo”: Incluindo código ou comandos irrelevantes para enganar ferramentas de análise automatizadas.
. Execução Baseada em Tempo: Algumas ações maliciosas são adiadas ou acionadas por interações específicas do usuário, que podem não ser replicadas em um ambiente de sandbox.
. Modelos e Links Remotos Sem Extensões: Para tornar menos óbvio o que o site contatado revelará, complicando a detecção para soluções de segurança.
. Truques de Formatação de Documentos: Como exigir que o usuário “habilite a edição” ou “habilite o conteúdo”, o que pode burlar algumas medidas de segurança automatizadas que não interagem com documentos como um usuário faria.
. Incorporação de Cargas Maliciosas em Formatos de Arquivo Não Executáveis: Como documentos do Word ou Excel, que têm menos probabilidade de serem sinalizados como perigosos em comparação com arquivos executáveis.
Táticas em Evolução
Essas técnicas demonstram a adaptabilidade dos cibercriminosos diante das medidas avançadas de segurança cibernética. O uso de iscas bem elaboradas e táticas sofisticadas de evasão torna desafiador para os sistemas automatizados acompanharem, exigindo uma combinação de tecnologias de detecção avançadas e maior conscientização dos usuários para combater efetivamente essas ameaças.
“Embora as CVEs em questão não sejam novas, sua exploração contínua destaca a necessidade de atenção e prevenção contínuas nas práticas de segurança cibernética. Compreender os setores, países e a natureza evolutiva desses ataques é crucial para desenvolver estratégias de defesa eficazes contra essas ameaças persistentes”, conclui Alexander Chailytko, da CPR.
Conclusão e Recomendações
A relevância contínua dessas vulnerabilidades antigas destaca a importância da vigilância em segurança cibernética. Para mitigar esses riscos, é essencial:
. Manter sistemas operacionais e aplicativos atualizados.
. Ter cautela com e-mails inesperados contendo links, especialmente de remetentes desconhecidos.
. Reforçar a conscientização em segurança cibernética entre os funcionários.
. Consultar especialistas em segurança para quaisquer dúvidas ou incertezas.
Os clientes da Check Point Software permanecem protegidos contra a ameaça descrita acima. Os Check Point Threat Emulation e Harmony Endpoint fornecem cobertura abrangente de táticas de ataque, tipos de arquivos e sistemas operacionais e protegem contra os tipos de ataques e ameaças descritos na análise da equipe da CPR.
Contra CVE-2017-11882:
- RTF[.]CVE-2017-11882[.]gen[.]TC[.]*
- Win32[.]CVE-2017-11882[.]TC[.]*
- HEUR[:]Exploit[.]MSOffice[.]CVE-2017-11882[..]TC[.]
Contra CVE-2017-0199:
- MSOffice[.]CVE-2017-0199[..]TC[.]
- RTF[.]CVE-2017-0199[..]TC[.]
- Win32[.]CVE-2017-0199[.]TC[.]*
- HEUR[:]Exploit[.]MSOffice[.]CVE-2017-0199[.]gen[.]TC[.]*
- Wins[.]Maldoc_cve-2017-0199[.]*
Contra CVE-2018-0802:
- MSOffice[.]CVE-2018-0802[.]gen[.]TC[.]*
- RTF[.]CVE-2018-0802[.]gen[.]TC[.]*
- Win32[.]CVE-2018-0802[.]TC[.]*
- HEUR[:]Exploit[.]MSOffice[.]CVE-2018-0802[.]gen[.]TC[.]*