Uma nova vulnerabilidade do Microsoft Word de dia zero pode dar aos hackers controle total do seu computador. Mesmo que você não abra um arquivo infectado, a vulnerabilidade pode ser explorada.
Apesar de ainda estarmos esperando por uma correção, a Microsoft já forneceu uma solução para essa vulnerabilidade, portanto, se você usa o MS Office regularmente, verifique-o.
Cuidado com a nova vulnerabilidade do Microsoft Word
Vulnerabilidade do Microsoft Word, apelidada de Follina por um dos pesquisadores que inicialmente a investigou – Kevin Beaumont, que também publicou um post longo sobre isso — até agora foi atribuído à ferramenta MSDT. Foi originalmente descoberto em 27 de maio por meio de um tweet de nao_sec, embora a Microsoft aparentemente tenha sabido disso em abril. Embora nenhuma correção tenha sido lançada para ele, a solução da Microsoft envolve desativar o Microsoft Support Diagnostic Tool (MSDT), que é como o exploit obtém acesso ao computador que está sendo atacado.
Maldoc interessante foi enviado da Bielorrússia. Ele usa o link externo do Word para carregar o HTML e, em seguida, usa o "ms-msdt" esquema para executar o código do PowerShell.https://t.co/hTdAfHOUX3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) 27 de maio de 2022
A vulnerabilidade do Microsoft Word é uma falha de execução remota de código no MS Word que afeta principalmente arquivos .rtf. O recurso de modelos do MS Word permite carregar e executar código de fontes externas, que o Follina utiliza para obter acesso ao computador e, em seguida, executa uma série de comandos que abrem o MSDT. Em circunstâncias normais, os usuários do Windows podem usar a Ferramenta de diagnóstico da Microsoft para Windows (MSDT) para resolver vários problemas sem problemas. Infelizmente, como essa ferramenta também dá acesso remoto ao seu computador, ela ajuda o exploit a assumir o controle dele.
O exploit pode operar mesmo se você não abrir o arquivo no caso de arquivos .rtf. O Follina pode ser iniciado desde que você o visualize no Explorador de Arquivos. Uma vez que o invasor compromete seu computador via MSDT, ele tem carta branca para fazer o que quiser com ele. Eles podem baixar software nocivo, vazar dados confidenciais e muito mais.
Beaumont incluiu vários exemplos de Follina no passado, incluindo como já foi utilizado e descoberto em vários arquivos. A extorsão financeira é apenas uma das muitas coisas para as quais essa exploração está sendo usada. Claro – você não quer isso no seu PC.
O que fazer até que a Microsoft lance um patch?
Há algumas coisas que você pode fazer para evitar a vulnerabilidade do Microsoft Word até que a empresa lance um patch para corrigi-la. A solução oficial, como as coisas estão agora, é a solução alternativa; não sabemos ao certo o que mais virá a seguir.
Para começar, verifique se a sua versão do Office é uma das afetadas pela vulnerabilidade do Microsoft Word. O bug foi descoberto no Office 2013, 2016, 2019, 2021, Office ProPlus e Office 365 até agora. Não há como saber se as versões mais antigas do Microsoft Office estão protegidas; assim, é importante tomar mais precauções para se proteger.
Não é uma idéia terrível para evitar o uso. doc, .docx e.rtf por enquanto, se você puder fazer isso. Considere migrar para serviços baseados em nuvem, como o Google Docs. Aceite e baixe apenas arquivos de fontes 100% identificadas – o que é uma boa regra geral. A propósito, você pode descobrir tudo o que precisa saber sobre o Microsoft Office 2021, visitando nosso artigo.
Por fim, siga as instruções da Microsoft sobre como desabilitar o MSDT. Você precisará abrir o prompt de comando e executá-lo como administrador e digitar algumas instruções. Se tudo correr bem, você estará a salvo de Follina. No entanto, tenha em mente que cautela é sempre aconselhada.
Abaixo compartilhamos as etapas necessárias para desabilitar o protocolo de URL MSDT, fornecido pela Microsoft:
A desativação do protocolo de URL MSDT impede que os solucionadores de problemas sejam iniciados como links, incluindo links em todo o sistema operacional. Os solucionadores de problemas ainda podem ser acessados usando o Obter ajuda do aplicativo e nas configurações do sistema como outros solucionadores de problemas ou adicionais. Siga estas etapas para desativar:
- Corre Prompt de comando Como Administrador.
- Para fazer backup da chave de registro, execute o comando “reg export HKEY_CLASSES_ROOTms-msdt nome do arquivo“
- Execute o comando “reg delete HKEY_CLASSES_ROOTms-msdt /f”.
Como desfazer a solução alternativa
Corre Prompt de comando Como Administrador.
Para restaurar a chave de registro, execute o comando “reg import nome do arquivo”
A Microsoft não é a única vítima de ataques cibernéticos, por exemplo, hackers tentam atingir autoridades europeias para obter informações sobre refugiados ucranianos, suprimentos.