{"id":19565,"date":"2022-05-30T18:22:45","date_gmt":"2022-05-30T21:22:45","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19565"},"modified":"2022-05-30T18:38:22","modified_gmt":"2022-05-30T21:38:22","slug":"exploit-de-zero-day-no-microsoft-office","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/05\/basico\/exploit-de-zero-day-no-microsoft-office\/","title":{"rendered":"Exploit de Zero-day no Microsoft Office"},"content":{"rendered":"\n<h1 class=\"story-title\"><span class=\"goog-text-highlight\">Aten\u00e7\u00e3o! <\/span>Pesquisadores descobrem novo exploit de Zero-Day no Microsoft Office<\/h1>\n<p>&nbsp;<\/p>\n<p style=\"text-align: justify;\">Pesquisadores de seguran\u00e7a cibern\u00e9tica est\u00e3o chamando a aten\u00e7\u00e3o para uma falha de Zero-day no Microsoft Office que pode ser abusada para obter a execu\u00e7\u00e3o arbitr\u00e1ria de c\u00f3digo nos sistemas Windows afetados.<\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: justify;\">A vulnerabilidade veio \u00e0 tona depois que uma equipe independente de pesquisa de seguran\u00e7a cibern\u00e9tica conhecida como nao_sec descobriu um documento do Word (&#8221; 05-2022-0438.doc &#8220;) que foi carregado no VirusTotal de um endere\u00e7o IP na Bielorr\u00fassia.<\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: justify;\">&#8220;Ele usa o link externo do Word para carregar o HTML e em seguida usa o esquema &#8216;ms-msdt&#8217; para executar o c\u00f3digo do PowerShell&#8221;, observaram os pesquisadores em uma s\u00e9rie de tweets na semana passada<\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: justify;\">De acordo com o pesquisador de seguran\u00e7a Kevin Beaumont, que apelidou a falha de &#8220;Follina&#8221;, o maldoc aproveita o recurso de modelo remoto do Word para buscar um arquivo HTML de um servidor, que ent\u00e3o usa o esquema de URI &#8220;ms-msdt:\/\/&#8221; para executar o carga maliciosa.<\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: justify;\">A falha recebeu esse nome porque a amostra maliciosa faz refer\u00eancia a 0438, que \u00e9 o c\u00f3digo de \u00e1rea de Follina, um munic\u00edpio da cidade italiana de Treviso.<\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: justify;\">MSDT \u00e9 a abrevia\u00e7\u00e3o de Microsoft Support Diagnostics Tool, um utilit\u00e1rio usado para solucionar problemas e coletar dados de diagn\u00f3stico para an\u00e1lise por profissionais de suporte para resolver um problema.<\/p>\n<p>&nbsp;<\/p>\n\n\n<p><iframe loading=\"lazy\" title=\"YouTube video player\" src=\"https:\/\/www.youtube.com\/embed\/GybD70_rZDs\" allowfullscreen=\"allowfullscreen\" width=\"620\" height=\"360\" frameborder=\"0\"><\/iframe><\/p>\n\n\n<p>&nbsp;<\/p>\n<p style=\"text-align: justify;\"><span>&#8220;H\u00e1 muita coisa acontecendo aqui, mas o primeiro problema \u00e9 que o Microsoft Word est\u00e1 executando o c\u00f3digo via msdt (uma ferramenta de suporte), mesmo que as macros estejam desabilitadas&#8221;, <\/span><span>explicou<\/span><span> Beaumont .<\/span><\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: justify;\"><span>\u201c O <\/span><span>Protected View<\/span><span> entra em a\u00e7\u00e3o, embora se voc\u00ea alterar o documento para o formato RTF, ele \u00e9 executado sem abrir o documento (atrav\u00e9s da guia de visualiza\u00e7\u00e3o no Explorer), muito menos o Protected View\u201d, acrescentou o pe<\/span>squisador.<\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: justify;\"><span>Em uma an\u00e1lise independente, a empresa de seguran\u00e7a cibern\u00e9tica Huntress Labs detalhou o fluxo de ataque, observando o arquivo HTML (&#8220;RDF842l.html&#8221;) que aciona a explora\u00e7\u00e3o originada de um dom\u00ednio agora inacess\u00edvel chamado &#8220;xmlformats[.]com&#8221;.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: justify;\"><span>&#8220;Um arquivo Rich Text Format (.RTF) pode desencadear a invoca\u00e7\u00e3o desta explora\u00e7\u00e3o apenas com o Painel de Visualiza\u00e7\u00e3o no Windows Explorer&#8221;, informou<\/span><span> John Hammond, da Huntress Labs . &#8220;Muito parecido com o CVE-2021-40444, isso estende a gravidade dessa amea\u00e7a n\u00e3o apenas com um &#8216;clique \u00fanico&#8217; para explorar, mas potencialmente com um gatilho de &#8216;clique zero&#8217;.&#8221;<\/span><\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: justify;\"><span>Diz-se que v\u00e1rias vers\u00f5es do Microsoft Office, incluindo Office, Office 2016 e Office 2021, s\u00e3o afetadas, embora se espere que outras vers\u00f5es tamb\u00e9m sejam vulner\u00e1veis.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: justify;\"><span>Al\u00e9m disso, Richard Warren, do NCC Group, <\/span><span>conseguiu<\/span><span> demonstrar uma explora\u00e7\u00e3o no Office Professional Pro com patches de abril de 2022 executados em uma m\u00e1quina Windows 11 atualizada com o painel de visualiza\u00e7\u00e3o ativado.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: justify;\"><span>\u201cA Microsoft precisar\u00e1 corrigi-lo em todas as diferentes ofertas de produtos e os fornecedores de seguran\u00e7a precisar\u00e3o de detec\u00e7\u00e3o e bloqueio robustos\u201d, disse Beaumont. Entramos em contato com a Microsoft para comentar e atualizaremos a hist\u00f3ria assim que recebermos uma resposta.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>Este artigo \u00e9 uma tradu\u00e7\u00e3o de: <a href=\"https:\/\/thehackernews.com\/2022\/05\/watch-out-researchers-spot-new.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2022\/05\/watch-out-researchers-spot-new.html<\/a>&nbsp; (Autor: <i class=\"icon-font icon-user\"><\/i><span class=\"author\">Ravie Lakshmanan<\/span>)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Aten\u00e7\u00e3o! Pesquisadores descobrem novo exploit de Zero-Day no Microsoft Office &nbsp; Pesquisadores de seguran\u00e7a cibern\u00e9tica est\u00e3o chamando a aten\u00e7\u00e3o para uma falha de Zero-day no Microsoft Office que pode ser abusada para obter a execu\u00e7\u00e3o arbitr\u00e1ria de c\u00f3digo nos sistemas Windows afetados. &nbsp; A vulnerabilidade veio \u00e0 tona depois que uma equipe independente de pesquisa [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":19569,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19565","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19565","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19565"}],"version-history":[{"count":11,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19565\/revisions"}],"predecessor-version":[{"id":19582,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19565\/revisions\/19582"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19569"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19565"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19565"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19565"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}