A Microsoft confirmou que o Windows pode ser afetado por uma vulnerabilidade que até agora era desconhecida (um zero day) e que está sendo usada em tentativas de ataque na Internet. Batizada de “Follina”, ela está registrada agora como CVE-2022-30190 e foi relatada inicialmente na sexta-feira dia 27 de Maio de 2022 por um pesquisador que usa no Twitter o apelido de “@nao_sec” e está baseado no Japão. Ele relatou ter encontrado um arquivo Word malicioso projetado para executar código arbitrário do PowerShell, cujo upload no VirusTotal foi feito por um usuário da Bielorrússia.
Veja isso
Servidores Windows e Linux estão sob ataque de criptomineração
Microsoft corrige bug de dia zero no Windows Defender
Segundo relato do pesquisador Kevin Beaumont (@GossiTheDog), o Windows Defender não bloqueou a execução: “O documento usa o recurso de modelo remoto do Word para recuperar um arquivo HTML de um servidor Web remoto, que por sua vez usa o esquema de URI ms-msdt MSProtocol para carregar algum código e executar algum PowerShell. Isso não deveria ser possível. Há muita coisa acontecendo aqui, mas o primeiro problema é que o Microsoft Word está executando o código via msdt (uma ferramenta de suporte) mesmo se as macros estiverem desabilitadas. O Modo de Exibição Protegido entra em ação, embora se você alterar o documento para o formato RTF, ele será executado mesmo sem abrir o documento (através da guia de visualização no Explorer) e muito menos o Modo de Exibição Protegido”.
Segundo o pesquisador, “há mais de um mês (em abril de 2022), um arquivo com o tema ‘convite para uma entrevista’ com a Sputnik Radio visando um usuário na Rússia foi colocado no VirusTotal. Esse documento explora diretamente a vulnerabilidade Follina. Foi relatado à Microsoft, que decidiu que não era um problema de segurança”.
Na segunda-feira, 30 de maio de 2022, ontem, a Microsoft anunciou o CVE-2022-30190 referente à vulnerabilidade da Microsoft Support Diagnostic Tool (MSDT) no Windows. A empresa indicou como solução alternativa a desativação do protocolo de URL MSDT.
O pesquisador Paul Ducklin, da Sophos, publicou um artigo detalhando o assunto e relatando que a comunidade de segurança chegou a um consenso – com a MIcrosoft – sobre como contornar a situação: quebra-se a relação entre ms-msdt: URLs e o utilitário MSDT. Isso significa que ms-msdt: URLs não têm mais nenhum significado especial e não podem ser usados para forçar a execução do MSDT.EXE: “Você pode fazer essa alteração simplesmente removendo a entrada do registro HKEY_CLASSES_ROOT\ms-msdt, se ela existir. Caso não exista, você já está protegido”.
A orientação da Microsoft está no endereço
“hxxps://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/”
