CVE-2017-11882: cinco anos de exploração

Isso significa que algumas empresas ainda não instalaram patches do MS Office publicadas há 5 anos.

Sempre enfatizamos como é importante instalar prontamente patches para vulnerabilidades em softwares que são explorados com mais frequência em ciberataques — sistemas operacionais, navegadores e aplicativos de empresariais. Eis uma boa ilustração dessa tese: de acordo com nossas estatísticas sobre vulnerabilidades, uma das falhas mais utilizadas nos ataques a nossos clientes, a CVE-2017-11882 no Microsoft Office, ainda é bastante popular entre os cibercriminosos. Apesar do fato de que a atualização que corrige essa vulnerabilidade foi lançada em novembro de 2017! Essa popularidade duradoura da CVE-2017-11882 só pode significar que alguém não instalou as correções para o Microsoft Office por mais de cinco anos.

O que é a vulnerabilidade CVE-2017-11882?

CVE-2017-11882 é uma vulnerabilidade de Execução Remota de Código (na sigla em inglês RCE) no editor de equações do Microsoft Office e está associada a uma falha na manipulação de objetos na RAM. Para explorá-la, um invasor deve criar um arquivo malicioso e, de alguma forma, convencer a vítima a abri-lo. Na maioria das vezes, o vetor do ataque é enviado por e-mail ou hospedado em um site comprometido.

A exploração bem-sucedida da vulnerabilidade CVE-2017-11882 permite que um invasor execute código arbitrário com os privilégios do usuário que abriu o arquivo malicioso. Assim, se a vítima tiver privilégios de acesso de administrador, o cibercriminoso poderá assumir o controle total do sistema invadido — instalar programas; visualizar, modificar ou destruir dados; e até mesmo criar novas contas.

No final de 2017, quando as informações sobre a vulnerabilidade foram publicadas pela primeira vez, não houve tentativas mapeadas de exploração. Mas em menos de uma semana, uma prova de conceito (PoC) apareceu na internet e os ataques usando CVE-2017-11882 começaram logo em seguida.

Em 2018, tornou-se uma das vulnerabilidades mais exploradas no Microsoft Office. Em 2020, durante a pandemia de Covid-19, a CVE-2017-11882 foi usada ativamente em correspondências maliciosas que usavam o tema de entregas interrompidas devido a restrições sanitárias. E agora, em 2023, ela aparentemente ainda serve aos propósitos dos malfeitores!

Como se manter protegido

Claro, a CVE-2017-11882 não é a única vulnerabilidade que tem sido usada em ataques por muitos anos. E nem mesmo é a mais perigosa delas. É surpreendente que, apesar de sua relativa popularidade (muito foi debatido desde 2017), bem como a disponibilidade de atualizações e versões mais recentes do MS Office, alguém ainda esteja usando versões vulneráveis da suíte do office.

Portanto, antes de tudo, recomendamos a todas as empresas que usam o Microsoft Office que se certifiquem de que estão trabalhando com a versão atualizada do pacote. Geralmente, também é uma boa ideia monitorar novos lançamentos de patches de segurança e instalá-los oportunamente. O resto do conselho é bastante padrão:

  • evite trabalhar em documentos do office com direitos de acesso de administrador;
  • não abra documentos enviados por desconhecidos e sem motivos;
  • use soluções de segurança que possam impedir a exploração de vulnerabilidades.

O Kaspersky Endpoint Security for Business detecta e bloqueia tentativas de exploração de todas as vulnerabilidades conhecidas (incluindo a citada neste texto), bem como aquelas ainda não descobertas.

Dicas