A Microsoft foi avisada que hackers estão a explorar activamente uma vulnerabilidade que permite a execução remota de código (Remote Code Execution, ou RCE), com a designação CVE-2021-40444. Os ataques usam ficheiros de Microsoft Office feitos de propósito, que abrem um controlo ActiveX através do motor de renderização MSHTML. Os sistemas afectados incluem os Windows Server da versão 2008 à 2019 e o Windows, da versão 7 à versão 10.
A Expmon, uma das várias empresas de segurança informática que reportaram a existência desta vulnerabilidade, disse ao site BleepingComputer que este método de ataque é 100% eficaz, o que o torna muito perigoso. Assim que o utilizador abre o documento, o malware é logo carregado a partir de um computador remoto. A Expmon também publicou um tweet em que avisa os utilizadores não devem abrir nenhuns ficheiros Office, a menos que venham de remetentes confiáveis.
💥💥⚡️⚡️
EXPMON system detected a highly sophisticated #ZERO-DAY ATTACK ITW targeting #Microsoft #Office users! At this moment, since there’s no patch, we strongly recommend that Office users be extremely cautious about Office files – DO NOT OPEN if not fully trust the source!
— EXPMON (@EXPMON_) September 7, 2021
O ficheiro descoberto pela Expmon era do Word (extensão .docx), mas a Microsoft não indicou se esta vulnerabilidade se resume apenas a ficheiros do Word. Qualquer documento do Office que possa chamar o MSHTML é um vector de infecção potencial. A Microsoft ainda não tem uma solução para este buraco de segurança, mas indica várias formas de mitigar o problema num artigo que publicou sobre ele.
Para além de ter cuidado na abertura de documentos do Office, a execução destas aplicações na sua configuração de fábrica abre os ficheiros em Modo Protegido, que serve para mitigar o ataque. Adicionalmente, o antivírus Microsoft Defender e o Defender para Endpoint impedem a infecção.
A Microsoft também diz que os utilizadores podem desligar a instalação de quaisquer controlos ActiveX no Internet Explorer. Esta solução necessita de um ficheiro de registo (com a extensão .reg), que pode ser encontrado no artigo da Microsoft. A abertura do ficheiro .reg transfere as novas configurações para o Registo do Windows. A seguir, o utilizador apenas tem de reiniciar o computador para aplicar as alterações.
