Microsoft Office pode ser utilizado para atacar um PC com Windows: Microsoft não quer saber
31 Maio, 2022Follina é a vulnerabilidade do Microsoft Office que a Microsoft ignora
Uma nova falha no Word foi descoberta: ao abrir um simples documento utilizando a aplicação do Microsoft Office, é possível executar comandos do PowerShell através da Microsoft Support Diagnostic Tool (MSDT).
Chamada de Follina, essa falha ataca directamente as aplicações do Microsoft Office, mas não requer qualquer direito administrativo específico na máquina. A pior parte é que não requer qualquer macro para iniciar, e permanece indetectável pelos antivírus, incluído o Windows Defender.
A falha foi descoberta, e relatada, à Microsoft no passado mês de Abril. A gigante de Redmond, no entanto, descartou-a por completo, argumentando que não é um problema de segurança e que os seus programadores não conseguiram reproduzi-la. No entanto, a vulnerabilidade foi analisada por vários especialistas em segurança, que conseguiram explorá-la em várias versões do Office. Assim, as edições do Office 2013, 2016, Office Pro Plus e 2021 que são afectadas.
Um pesquisador de segurança que responde pelo pseudónimo de “nao_sec” descobriu o malware em questão há alguns dias enquanto procurava ficheiros no VirusTotal que exploravam outra falha (CVE-2021-40444). Foi assim que ele se deparou com um documento malicioso do Word, que usa um link externo para carregar um código HTML e, em seguida, inicia o código do PowerShell usando a ferramenta MSDT (Microsoft Support Diagnostic Tool). Outro pesquisador de segurança, Kevin Beaumont, explica no seu blog que o conjunto de comandos inicia o MSDT não importa o que aconteça, mesmo quando a execução da macro está desactiva no Word.
Segundo os pesquisadores, um invasor será capaz de explorar essa falha para ter acesso aos dados no computador da vítima, incluindo hashes de passwords. Embora o Word alerte o utilizador sobre uma tentativa de execução de código malicioso, o problema pode ser facilmente contornado alterando a extensão do ficheiro para .RTF. Portanto, é possível executar o código malicioso sem que o utilizador abra o ficheiro utilizando o Microsoft Office, desde que ele tenha activado a função de visualização do Explorer.
A detecção de tal falha é ainda mais difícil, pois o código malicioso é carregado remotamente. O próprio documento do Word não inclui qualquer malware, portanto, não pode ser categorizado como uma ameaça. Pesquisadores do site Huntress aconselham a acivar o recurso “Impedir que todas as aplicações do Office criem processos filhos”, conforme explicado no site da Microsoft. Outro pesquisador explica que também é suficiente remover a associação de ficheiros para MS-MSDT, para que o Microsoft Office não execute essa ferramenta por conta própria.
Joel Pinto
Fundador do Noticias e Tecnologia, e este foi o seu segundo projeto online, depois de vários anos ligado a um portal voltado para o sistema Android, onde também foi um dos seus fundadores.
