As vulnerabilidades do Microsoft Office

22 abr 2019

As palestras da SAS 2019 não trataram apenas dos ataques sofisticados de APTs, mas também do trabalho diário de nossos pesquisadores que lutam contra os malware. Nossos especialistas Boris Larin, Vlad Stolyarov e Alexander Liskin prepararam um estudo sobre a detecção de ataques multicamadas de 0-day no MS Office chamado “Catching multilayered zero-day attacks on MS Office”. O foco da pesquisa são as ferramentas que os ajudam na análise de malwares, mas também chamaram a atenção para o atual cenário de ameaças do Microsoft Office.
As alterações que o cenário de ameaças sofreu em apenas dois anos são dignas de menção. Nossos especialistas estudaram os números de usuários vítimas de ataques por plataformas alvos no final do ano passado, em comparação a apenas dois anos atrás. A conclusão foi que os cibercriminosos mudaram sua preferência por vulnerabilidades da web para as do MS Office. Mas mesmo eles foram surpreendidos a magnitude da mudança: nos últimos meses, o MS Office tornou-se a plataforma mais explorada, sofrendo mais do que 70% dos ataques.
No início do ano passado, exploits de 0-day começaram a surgir no MS Office. Geralmente, eles tentavam uma campanha direcionada, mas com o passar do tempo, são publicados e acabam integrados a um gerador de documentos maliciosos. No entanto, o tempo de resposta foi reduzido consideravelmente. Por exemplo, no caso da CVE-2017-11882, a primeira vulnerabilidade do editor de equações que nosso especialista observou, uma enorme campanha de spam foi lançada no mesmo dia que se publicou a prova conceito. Algo semelhante ocorreu com outras brechas de segurança: depois que um relatório de vulnerabilidade é divulgado publicamente, é uma questão de dias até que um exploit apareça no mercado do cibercrime. Inclusive, os bugs se tornaram bem menos complexos e, às vezes, tudo que o cibercriminoso precisa para gerar um exploit funcional é uma análise detalhada.

Depois de avaliar as brechas de segurança mais utilizadas em 2018, podemos confirmar que os autores de malware preferem bugs simples, mas lógicos. Portanto, as vulnerabilidades CVE-2017-11882 e CVE-2018-0802 do editor de equação são agora as mais exploradas no MS Office. De forma geral, são confiáveis e funcionam em todas as versões de Word lançadas nos últimos 17 anos e, mais importante, não exigem habilidades avançadas para criar um exploit, já que o editor de equações binárias não têm quaisquer proteções e medidas atuais que seriam esperadas de um aplicativo em 2018.

Curiosamente, deve-se notar que nenhuma das vulnerabilidades mais exploradas são encontradas no próprio MS Office, mas em seus componentes.

Mas por que esse tipo de coisa continua acontecendo?

Bem, a superfície de ataque do MS Office é enorme, com muitos formatos de arquivo complexos que devem ser considerados, bem como a sua integração com o Windows e interoperabilidade. E, mais importante em termos de segurança, muitas das decisões tomadas durante a criação do Microsoft Office não são mais adequadas, mas modificá-las pode prejudicar a compatibilidade com versões anteriores.

Somente em 2018, encontramos várias vulnerabilidades aproveitadas por exploit de 0-day. Entre elas, a CVE-2018-8174 (a vulnerabilidade remota de execução de código do mecanismo VBScript do Windows) que é especialmente interessante, pois o exploit foi inicialmente detectado em um documento do Word, mas hoje se espalhou para o Internet Explorer. Para mais informações, consulte esta publicação no Securelist.

Como encontramos as vulnerabilidades?

Os produtos de segurança para endpoints da Kaspersky têm funcionalidades heurística muito avançadas para detectar ameaças distribuídas por meio de documentos MS Office. É uma das primeiras camadas de detecção. O mecanismo heurístico conhece todos os formatos de arquivos e de ofuscação de documentos atuando como a frente de defesa inicial. Mas quando encontramos um objeto malicioso, não nos limitamos a determinar simplesmente se é perigoso. Ele passa por diferentes camadas de segurança. Por exemplo, por uma tecnologia que foi particularmente bem-sucedida no isolamento do processo conhecida sandbox.

Com relação à segurança da informação, sandboxes são usadas para separar os ambientes inseguros dos seguros, ou vice-versa, a fim de protegê-los contra a exploração de vulnerabilidades e para analisar o código malicioso. Nossa sandbox é um sistema para detectar malware que executa um objeto suspeito em uma máquina virtual com um sistema operacional totalmente funcional, e detecta a atividade mal-intencionada por meio de uma análise comportamental. Foi desenvolvida há alguns anos para ser usada em nossa infraestrutura e, posteriormente, tornou-se parte do Kaspersky Anti-Targeted Attack Platform.

O Microsoft Office tem sido e permanecerá como alvo preferido dos cibercriminosos. Eles perseguem as brechas mais fáceis, assim, as funcionalidades obsoletas continuarão a ser usadas para tirar vantagem ilegalmente. Para proteger sua empresa, aconselhamos a utilização de soluções cuja eficácia tenha sido testada na longa lista de CVEs detectadas.