Pesquisadores descobriram outra vulnerabilidade grave em produtos da Microsoft que potencialmente permite que invasores executem códigos arbitrários. O MITRE denominou essa vulnerabilidade como CVE-2022-30190, enquanto pesquisadores mais próximos do assunto estão chamando a nova ameaça pelo nome de Follina. O mais perturbador é que ainda não há correção para esse bug. E, o que é ainda pior, a vulnerabilidade já está sendo ativamente explorada por cibercriminosos. Enquanto a atualização está em desenvolvimento, todos os usuários e administradores do Windows são aconselhados a usar soluções temporárias.
O que é a CVE-2022-30190 e quais produtos podem ser afetados?
A vulnerabilidade CVE-2022-30190 está contida na Ferramenta de Diagnóstico de Suporte do Microsoft Windows (MSDT, na sigla em inglês), o que não parece ser algo relevante. Infelizmente, devido à implementação dessa ferramenta, a vulnerabilidade pode ser explorada por meio de um documento malicioso do MS Office.
A MSDT é uma aplicação usada para coletar automaticamente informações de diagnóstico e enviá-las à Microsoft quando algo der errado com o Windows. A ferramenta pode ser chamada a partir de outros aplicativos (o Microsoft Word é o exemplo mais popular) por meio do protocolo especial de URL da MSDT. Se a vulnerabilidade for explorada com sucesso, um invasor pode executar um código arbitrário com os privilégios do aplicativo que chamou a MSDT — ou seja, neste caso, com os direitos do usuário que abriu o arquivo malicioso.
A vulnerabilidade CVE-2022-30190 pode ser explorada em todos os sistemas operacionais da família Windows, tanto desktop quanto servidor.
Como os invasores exploram a CVE-2022-30190
Como demonstração de um ataque, os pesquisadores que a descobriram descrevem o seguinte cenário: os invasores criam um documento malicioso do MS Office e, de alguma forma, o entregam para a vítima. A maneira mais comum de fazer isso é enviar um e-mail com um anexo malicioso, temperado com algum truque clássico de engenharia social para convencer o destinatário a abrir o arquivo. Algo como “verifique urgentemente o contrato, para assinatura amanhã de manhã” pode ser o suficiente.
O arquivo infectado contém um link para um arquivo HTML que contém código JavaScript, que executa código malicioso na linha de comando via MSDT. Como resultado da exploração bem-sucedida, os invasores podem instalar programas, visualizar, modificar ou destruir dados, bem como criar novas contas – ou seja, fazer tudo o que for possível com os privilégios da vítima no sistema.
Como se manter protegido
Como mencionado acima, ainda não foi feita uma atualização de correção. Enquanto isso, a Microsoft recomenda desabilitar o protocolo de URL MSDT. Para fazer isso, você precisa executar um prompt de comando com direitos de administrador e executar o comando <code>reg delete HKEY_CLASSES_ROOT\ms-msdt /f</code>. Antes de fazer isso, é recomendado fazer um backup do registro executando <code>reg export HKEY_CLASSES_ROOT\ms-msdt filename</code>. Dessa forma, você pode restaurar rapidamente o registro com o comando <code>reg import filename</code> assim que essa solução alternativa não for mais necessária.
Claro, esta é apenas uma medida temporária, e você deve instalar uma atualização que feche a vulnerabilidade do Follina assim que ela estiver disponível.
Os métodos descritos de exploração dessa vulnerabilidade envolvem o uso de e-mails com anexos maliciosos e métodos de engenharia social. Portanto, recomendamos que todos sejam mais cuidadosos do que o normal com e-mails de remetentes desconhecidos — especialmente com documentos do MS Office anexados. Para as empresas, faz sentido ampliar a conscientização dos funcionários regularmente sobre os truques mais relevantes de hackers.
Além disso, todos os dispositivos com acesso à Internet devem estar equipados com soluções de segurança robustas. Mesmo quando alguém estiver explorando uma vulnerabilidade desconhecida, essas soluções podem impedir que códigos maliciosos sejam executados na máquina de um usuário.