Esta semana, a Microsoft lançou o CVE-2022-30190 relacionado à vulnerabilidade conhecida de zero-day na Ferramenta de Diagnóstico de Suporte da Microsoft (MSDT) no Windows.
Essa vulnerabilidade é uma falha de execução remota de código, o que significa que nenhuma interação do usuário é necessária para que os invasores ajam. Tudo o que o usuário-alvo teria que fazer é baixar o documento malicioso, em muitos casos um documento do Microsoft Word. Se essa vulnerabilidade for efetivamente explorada, um invasor pode simplesmente executar código arbitrário com privilégios de aplicativos, então instalar programas, visualizar, modificar ou excluir dados ou criar novas contas no contexto permitido pelos direitos do usuário.
Claire Tills, engenheira sênior de pesquisa da Tenable, explica: “Durante o fim de semana, os pesquisadores começaram a falar sobre uma vulnerabilidade de execução de códigos à distância zero que poderia simplesmente ser explorada em documentos do Microsoft Office, um dos vetores favoritos dos atores de risco. “
“O RCE (Código de Execução Remota) parece ter sido extraído já em abril e foi recentemente revelado depois que um investigador começou a digitalizar um padrão malicioso no VirusTotal. No fim de semana seguinte, vários pesquisadores replicaram o desafio e decidiram que era uma exploração de “zero clique”, o que significa que nenhuma interação do usuário é necessária. Dadas as semelhanças entre cve-2022-30190 e CVE-2021-40444, e que pesquisadores e outros administradores de protocolos também podem estar vulneráveis, esperamos ver mais avanços e tentativas de explorar essa questão”, acrescentou Claire.
Filipe Pinheiro, engenheiro sênior de cibersegurança da Tenable Brasil, acrescenta: “A adoção do ecossistema de resposta da Microsoft em nosso país é muito alta, sendo a base de todos os tamanhos, em todas as regiões. Uma vulnerabilidade de zero-day como esta é uma porta aberta para o perigo. “
Como sair dessa vulnerabilidade
A Microsoft ainda não lançou patches para CVE-2022-30190 para organizações. No entanto, publicou uma solução e dados de detecção. A empresa recomenda desativar o protocolo de URL MSDT, mas o efeito de desativá-lo ainda não está claro. Além disso, uma lista de complementos para identificar sistemas afetados pode ser obtida no site da Tenable.
Para os usuários, Claire recomenda: “Como este é um feito sem clique, não há muito que os usuários individuais possam fazer. No entanto, uma dose saudável de ceticismo nunca dói. Os usuários merecem ter cuidado com anexos de fontes desconhecidas. “