Microsoft confirma falha zero-day no Office a afetar participantes no NATO Summit

A Microsoft confirmou que uma nova falha zero-day foi recentemente descoberta no Windows e Office, permitindo aos atacantes executarem código remotamente via arquivos do Office especialmente criados para explorar a mesma.

A falha é complexa de ser explorada, mas pode permitir a execução de código remoto sem que o utilizador tenha de realizar qualquer género de interação. Caso seja explorada, os atacantes podem obter acesso ao sistema e a informação potencialmente sensível.

A Microsoft afirma que a falha encontra-se a ser ativamente explorada para alguns ataques direcionados. No entanto, para a mesma ser explorada, o atacante ainda necessita de convencer a vítima a abrir o documento malicioso – apenas descarregar o mesmo não realiza a tarefa.

A falha ainda não foi corrigida, mas a Microsoft afirma que a correção deve ser lançada durante o pacote de atualizações mensais da empresa.

A empresa acredita que esta falha esteja a ser ativamente explorada para ataques a organizações que vão estar presentes na NATO Summit. As autoridades e investigadores de segurança afirmam terem descoberto que várias das entidades que vão encontrar-se no evento estão a ser alvo ativo de ataques de spam e phishing, focados em explorar exatamente esta falha.

Acredita-se que as campanhas ativas de exploração da falha estejam a ser realizadas pelo grupo RomCom, que é conhecido por ter ligações com as autoridades russas. Este grupo foca-se no roubo de dados sensíveis das empresas, e aplica várias técnicas de ransomware nas entidades afetadas.

Para evitar a exploração da falha, a Microsoft recomenda que os utilizadores tenham o Defender for Office ativo nos seus dispositivos, e mais concretamente a opção “Block all Office applications from creating child processes” ativada nas configurações do mesmo.