CISO Advisor: 238.450 page views/mês - 90.230 usuários/mês - 5.312 assinantes

Falha no Outlook abre portas para execução remota de código

Da Redação
19/02/2024

A Microsoft lançou seu lote de atualizações mensais de segurança no Patch Tuesday deste mês cobrindo 73 vulnerabilidades, incluindo duas falhas de dia zero exploradas por operadores de ameaças. Embora as organizações devam priorizar todos os problemas críticos e de alto risco, há uma vulnerabilidade crítica no Outlook que os pesquisadores de segurança afirmam que pode abrir a porta para ataques triviais que resultam na execução remota de código (RCE).

Apelidada de MonikerLink pelos pesquisadores da empresa de segurança Check Point Software que a encontraram, a vulnerabilidade permite que os invasores contornem o modo Office Protected View, que abre arquivos baixados da internet no modo somente leitura por padrão para evitar a execução de scripts potencialmente maliciosos internos.

“Vamos supor que o invasor tenha um exploit para o Microsoft Word funcionando sem o Protected View (já que este é o caso mais comum)”, explicaram os pesquisadores da Check Point. “Se a exploração for enviada como anexo, o invasor precisa que a vítima clique duas vezes no anexo. No entanto, isso não é o total porque um anexo enviado de um endereço de e-mail externo ativaria o Modo de Exibição Protegido no Word e bloquearia a exploração do invasor porque a exploração não funciona quando o Modo de Exibição Protegido está ativado.”

“Isso significa que o invasor precisa enganar a vítima para que ela execute outro clique único para sair do modo Word Protected View, para que sua exploração possa ser executada”, disseram os pesquisadores. “Portanto, no total, é um clique duplo e um único clique para toda a cadeia de ataque.”

Anexos e links de e-mail são os vetores mais comuns para distribuição de malware. Mecanismos como o Protected View tornam mais difícil para os invasores implantar explorações para vulnerabilidades existentes no Microsoft Word, Excel, PowerPoint e outros componentes do Office. Por isso, segundo os pesquisadores, o MonikerLink representa um risco de segurança mais amplo associado ao uso de APIs inseguras, como MkParseDisplayName/MkParseDisplayNameEx, afetando potencialmente não apenas o Outlook, mas outros softwares que usam essas APIs de forma insegura.

Veja isso
Hackers militares russos atacam a Otan usando bugs no Outlook
Hack à M365 expôs mais do que e-mails do Exchange e Outlook

A descoberta deste bug no Outlook serve como um apelo à ação para as comunidades de segurança e de desenvolvedores identificarem e corrigirem vulnerabilidades semelhantes em outras aplicações, garantindo a segurança do ecossistema Windows/COM.

Com o MonikerLink, rastreado como CVE-2024-21413 pela Microsoft, tal cadeia de exploração exigiria um único clique do usuário, porque a vulnerabilidade existe na forma como o Outlook “chama” aplicativos externos quando os usuários clicam em um link dentro de uma mensagem de e-mail. Além disso, a falha poderia servir como um veículo para fornecer explorações de um clique para outros aplicativos além do Word.

Para mais detalhes sobre os riscos do bug MonikerLink abordados pelos pesquisadores da Check Point Software clique aqui. O Centro de Resposta de Segurança da Microsoft também aborda a vunerabilidade. Para acessá-lo, clique aqui.

Compartilhar: