CG One

Blog CG One

Insights valiosos para ajudar a proteger o seu negócio.

Cibercriminosos exploram vulnerabilidades de segurança antigas no Microsoft Office

Falhas que ainda não foram corrigidas por empresas continuam a representar alto risco para as organizações

Cibercriminosos estão explorando vulnerabilidades de segurança no Microsoft Office, conhecidas há anos por infectar PCs com malware. Os ataques reforçam a importância de se aplicar atualizações de segurança cibernética.

Conforme detalhado por pesquisadores de segurança cibernética da Fortinet, os cibercriminosos estão aproveitando essas falhas não-corrigidas para distribuir SmokeLoader, uma forma de malware que é instalada em dispositivos Windows. A intenção é entregar uma carga adicional de malware que inclui o já conhecido Trickbot, uma variedade de backdoors e trojans.

Ambas as vulnerabilidades foram divulgadas há quase cinco anos, mas o fato de estarem sendo usadas para distribuir o SmokeLoader demonstra que ainda são eficazes e que muitas organizações ainda não realizaram os patches necessários.

Vulnerabilidades na Microsoft exploradas por cibercriminosos

A primeira é a CVE-2017-0199, uma vulnerabilidade no Microsoft Office que surgiu pela primeira vez em 2017 e que permite que invasores baixem e executem scripts do PowerShell em redes comprometidas, fornecendo-lhes a capacidade de obter acesso adicional aos sistemas.

A segunda é a CVE-2017-11882, um buffer overflow (transbordamento de dados) no Microsoft Office que permite a execução remota de códigos maliciosos.

Os patches de segurança para ambas as vulnerabilidades estão disponíveis desde que foram divulgados publicamente, há cinco anos.

Phishing é o ataque inicial para distribuição de malware

Como em muitas outras campanhas de malware, os criminosos cibernéticos usam e-mails de phishing para coagir as vítimas a cair no ataque.

Nesse caso, os pesquisadores detalham que o e-mail solicita que o destinatário revise um pedido de compra e prazo de envio para confirmar se estão corretos. O e-mail tenta parecer o mais legítimo possível, incluindo uma assinatura completa com detalhes de contato relacionados.

Para ver o que é supostamente uma ordem de compra, o usuário é solicitado a abrir um documento do Microsoft Office que possui “proteções” em vigor. O usuário, então, é solicitado a habilitar a edição para vê-lo e é isso que permite que o documento malicioso execute o código necessário para explorar as vulnerabilidades, infectando o dispositivo da vítima com malware.

“Embora a CVE-2017-0199 e a CVE-2017-11882 tenham sido descobertas em 2017, elas ainda estão sendo explorados ativamente nesta e em outras campanhas de malware”, informa o relatório. “Isso demonstra que os criminosos ainda atingem seus objetivos confiando em vulnerabilidades antigas, muitas vezes vários anos depois de serem descobertas, e apostando que as soluções afetadas não tenham sido corrigidas”.

As vulnerabilidades de segurança não-corrigidas continuam sendo um dos vetores de ataque mais comuns para cibercriminosos, muitos dos quais buscam ativamente sistemas e servidores vulneráveis.

Os pesquisadores observam que o SmokeLoader é usado para entregar variações de ameaças, como o ransomware, que podem causar prejuízos gigantescos às vítimas.

Portanto, é vital que as organizações apliquem as atualizações de segurança o mais rápido possível para evitar ataques de malware.

Você pode contar com camadas adicionais de segurança na sua empresa. Conheça as soluções da Compugraf e saiba como podemos te ajudar!

Leia outros artigos