A Microsoft divulgou sua série de atualizações mensais de segurança durante o Patch Tuesday deste mês, abordando um total de 73 vulnerabilidades.
Este lote inclui duas falhas de dia zero que já estão sendo exploradas por operadores de ameaças. Embora seja importante que as organizações priorizem a correção de todas as falhas críticas e de alto risco.
Especialistas em segurança destacam uma vulnerabilidade crítica no Outlook que pode facilitar ataques triviais, resultando em execução remota de código (RCE).
Denominada de MonikerLink pelos especialistas da Check Point Software, a vulnerabilidade encontrada permite que invasores eludam o modo de exibição protegido do Office, que normalmente abre arquivos baixados da internet em modo somente leitura para evitar a execução de scripts internos potencialmente maliciosos.
Exemplo da falha no Outlook
Os pesquisadores da Check Point explicam: Vamos considerar que o invasor tem um exploit para o Microsoft Word funcionando sem o modo de exibição protegido (já que este é o cenário mais comum).
Se o exploit for enviado como anexo, o invasor precisará que a vítima clique duas vezes no anexo. No entanto, isso não é garantido, pois um anexo enviado de um endereço de e-mail externo ativaria o modo de exibição protegido no Word, impedindo a execução do exploit, já que este não funciona quando o modo de exibição protegido está ativo.
Isso implica que o invasor precisa convencer a vítima a realizar um segundo clique para sair do modo Protegido do Word, permitindo assim a execução de sua exploração. Portanto, é necessário um clique duplo e um clique único para completar todo o processo de ataque.
Anexos e links de e-mail são os meios mais comuns de distribuição de malware. Recursos como o Modo Protegido dificultam para os invasores a exploração de vulnerabilidades nos softwares do Office, como Word, Excel e PowerPoint.
O MonikerLink representa um risco mais amplo de segurança devido ao uso de APIs inseguras, como MkParseDisplayName/MkParseDisplayNameEx, afetando não apenas o Outlook, mas também outros softwares que utilizam essas APIs de forma vulnerável.
A descoberta de uma falha no Outlook ressalta a necessidade de ação das comunidades de segurança e desenvolvimento para corrigir vulnerabilidades similares em outras aplicações, visando proteger o ecossistema Windows/COM.
Denominado MonikerLink pela Microsoft, o bug requer apenas um clique do usuário para ser explorado, pois afeta como o Outlook abre aplicativos externos a partir de links em e-mails.
Além disso, essa falha pode ser usada para fornecer exploits de um único clique para outros aplicativos além do Word. Para mais detalhes, consulte os relatórios da Check Point Software e do Centro de Resposta de Segurança da Microsoft.
