Por que isso importa: A Microsoft recebeu relatórios de uma vulnerabilidade de execução remota de código (RCE) (CVE-2021-40444) que os hackers estão explorando ativamente. O ataque usa arquivos do Microsoft Office criados com códigos maliciosos que abrem um controle ActiveX usando o mecanismo de renderização do navegador MSHTML. Os sistemas vulneráveis incluem Windows Server 2008 a 2019 e Windows 7 a 10.
Expmon, uma das várias empresas de segurança que relataram a exploração de dia zero, disse à BleepingComputer que o método de ataque é 100% confiável, o que o torna muito perigoso. Depois que um usuário abre o documento, ele carrega malware de uma fonte remota. Expmon tweetou que os usuários não devem abrir nenhum documento do Office, a menos que sejam de uma fonte totalmente confiável.
??⚡️⚡️
O sistema EXPMON detectou um sistema altamente sofisticado #ZERO-DAY ATTACK ITW targeting #Microsoft #Escritório Comercial! No momento, como não há patch, recomendamos fortemente que os usuários do Office sejam extremamente cautelosos com os arquivos do Office – NÃO ABRA se não confiar totalmente na fonte!– EXPMON (@EXPMON_) 7 de setembro de 2021
O arquivo que Expmon descobriu era um documento do Word (.docx), mas a Microsoft não indicou que a exploração estava limitada a arquivos do Word. Qualquer documento que possa recorrer ao MSHTML é um vetor potencial. A Microsoft ainda não corrigiu a falha de segurança, mas lista alguns métodos de atenuação no relatório de bug.
Além de ser cauteloso ao abrir documentos do Office, executar o Microsoft Office em sua configuração padrão abre arquivos no modo de exibição protegida, o que atenua o ataque (Application Guard no Office 360). Além disso, o Microsoft Defender Antivirus e o Defender for Endpoint impedem a execução do exploit.
A Microsoft também afirma que os usuários podem desabilitar a instalação de todos os controles ActiveX no Internet Explorer. Esta solução alternativa requer um arquivo de registro (.reg), que os usuários podem encontrar no relatório de bug. Executar o arquivo REG transfere as novas entradas para o registro do Windows. É necessário reinicializar para que as configurações tenham efeito.