{"id":11676,"date":"2019-04-22T18:18:17","date_gmt":"2019-04-22T21:18:17","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11676"},"modified":"2022-05-05T08:56:57","modified_gmt":"2022-05-05T11:56:57","slug":"ms-office-vulnerabilities-sas-2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ms-office-vulnerabilities-sas-2019\/11676\/","title":{"rendered":"As vulnerabilidades do Microsoft Office"},"content":{"rendered":"<p>As palestras da SAS 2019 n\u00e3o trataram apenas dos <a href=\"https:\/\/www.kaspersky.com.br\/blog\/gaza-cybergang\/11632\/\" target=\"_blank\" rel=\"noopener\">ataques sofisticados de APTs<\/a>, mas tamb\u00e9m do trabalho di\u00e1rio de nossos pesquisadores que lutam contra os malware. Nossos especialistas Boris Larin, Vlad Stolyarov e Alexander Liskin prepararam um estudo sobre a detec\u00e7\u00e3o de ataques multicamadas de 0-day no MS Office chamado \u201cCatching multilayered zero-day attacks on MS Office\u201d. O foco da pesquisa s\u00e3o as ferramentas que os ajudam na an\u00e1lise de malwares, mas tamb\u00e9m chamaram a aten\u00e7\u00e3o para o atual cen\u00e1rio de amea\u00e7as do Microsoft Office.<br>\nAs altera\u00e7\u00f5es que o cen\u00e1rio de amea\u00e7as sofreu em apenas dois anos s\u00e3o dignas de men\u00e7\u00e3o. Nossos especialistas estudaram os n\u00fameros de usu\u00e1rios v\u00edtimas de ataques por plataformas alvos no final do ano passado, em compara\u00e7\u00e3o a apenas dois anos atr\u00e1s. A conclus\u00e3o foi que os cibercriminosos mudaram sua prefer\u00eancia por vulnerabilidades da web para as do MS Office. Mas mesmo eles foram surpreendidos a magnitude da mudan\u00e7a: nos \u00faltimos meses, o MS Office tornou-se a plataforma mais explorada, sofrendo mais do que 70% dos ataques.<br>\n<img decoding=\"async\" class=\"aligncenter size-large wp-image-11678\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2019\/04\/22181316\/office_platforms_diagram-1024x571.png\" alt=\"\" width=\"1024\" height=\"571\">No in\u00edcio do ano passado, <a href=\"https:\/\/www.kaspersky.com.br\/blog\/cve-2019-0859-detected\/11640\/\" target=\"_blank\" rel=\"noopener\">exploits de 0-day<\/a> come\u00e7aram a surgir no MS Office. Geralmente, eles tentavam uma campanha direcionada, mas com o passar do tempo, s\u00e3o publicados e acabam integrados a um gerador de documentos maliciosos. No entanto, o tempo de resposta foi reduzido consideravelmente. Por exemplo, no caso da CVE-2017-11882, a primeira vulnerabilidade do editor de equa\u00e7\u00f5es que nosso especialista observou, uma enorme campanha de spam foi lan\u00e7ada no mesmo dia que se publicou a prova conceito. Algo semelhante ocorreu com outras brechas de seguran\u00e7a: depois que um relat\u00f3rio de vulnerabilidade \u00e9 divulgado publicamente, \u00e9 uma quest\u00e3o de dias at\u00e9 que um exploit apare\u00e7a no mercado do cibercrime. Inclusive, os bugs se tornaram bem menos complexos e, \u00e0s vezes, tudo que o cibercriminoso precisa para gerar um exploit funcional \u00e9 uma an\u00e1lise detalhada.<\/p>\n<p>Depois de avaliar as brechas de seguran\u00e7a mais utilizadas em 2018, podemos confirmar que os autores de malware preferem bugs simples, mas l\u00f3gicos. Portanto, as vulnerabilidades CVE-2017-11882 e CVE-2018-0802 do editor de equa\u00e7\u00e3o s\u00e3o agora as mais exploradas no MS Office. De forma geral, s\u00e3o confi\u00e1veis e funcionam em todas as vers\u00f5es de Word lan\u00e7adas nos \u00faltimos 17 anos e, mais importante, n\u00e3o exigem habilidades avan\u00e7adas para criar um exploit, j\u00e1 que o editor de equa\u00e7\u00f5es bin\u00e1rias n\u00e3o t\u00eam quaisquer prote\u00e7\u00f5es e medidas atuais que seriam esperadas de um aplicativo em 2018.<\/p>\n<p>Curiosamente, deve-se notar que nenhuma das vulnerabilidades mais exploradas s\u00e3o encontradas no pr\u00f3prio MS Office, mas em seus componentes.<\/p>\n<p>Mas por que esse tipo de coisa continua acontecendo?<\/p>\n<p>Bem, a superf\u00edcie de ataque do MS Office \u00e9 enorme, com muitos formatos de arquivo complexos que devem ser considerados, bem como a sua integra\u00e7\u00e3o com o Windows e interoperabilidade. E, mais importante em termos de seguran\u00e7a, muitas das decis\u00f5es tomadas durante a cria\u00e7\u00e3o do Microsoft Office n\u00e3o s\u00e3o mais adequadas, mas modific\u00e1-las pode prejudicar a compatibilidade com vers\u00f5es anteriores.<\/p>\n<p>Somente em 2018, encontramos v\u00e1rias vulnerabilidades aproveitadas por exploit de 0-day. Entre elas, a <a href=\"https:\/\/securelist.com\/delving-deep-into-vbscript-analysis-of-cve-2018-8174-exploitation\/86333\/\" target=\"_blank\" rel=\"noopener\">CVE-2018-8174 (a vulnerabilidade remota de execu\u00e7\u00e3o de c\u00f3digo do mecanismo VBScript do Windows)<\/a> que \u00e9 especialmente interessante, pois o exploit foi inicialmente detectado em um documento do Word, mas hoje se espalhou para o Internet Explorer. Para mais informa\u00e7\u00f5es, consulte esta <a href=\"https:\/\/securelist.com\/delving-deep-into-vbscript-analysis-of-cve-2018-8174-exploitation\/86333\/\" target=\"_blank\" rel=\"noopener\">publica\u00e7\u00e3o no Securelist<\/a>.<\/p>\n<h3>Como encontramos as vulnerabilidades?<\/h3>\n<p><a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Os produtos de seguran\u00e7a para endpoints da Kaspersky<\/a> t\u00eam funcionalidades heur\u00edstica muito avan\u00e7adas para detectar amea\u00e7as distribu\u00eddas por meio de documentos MS Office. \u00c9 uma das primeiras camadas de detec\u00e7\u00e3o. O mecanismo heur\u00edstico conhece todos os formatos de arquivos e de ofusca\u00e7\u00e3o de documentos atuando como a frente de defesa inicial. Mas quando encontramos um objeto malicioso, n\u00e3o nos limitamos a determinar simplesmente se \u00e9 perigoso. Ele passa por diferentes camadas de seguran\u00e7a. Por exemplo, por uma tecnologia que foi particularmente bem-sucedida no isolamento do processo conhecida sandbox.<\/p>\n<p>Com rela\u00e7\u00e3o \u00e0 seguran\u00e7a da informa\u00e7\u00e3o, sandboxes s\u00e3o usadas para separar os ambientes inseguros dos seguros, ou vice-versa, a fim de proteg\u00ea-los contra a explora\u00e7\u00e3o de vulnerabilidades e para analisar o c\u00f3digo malicioso. Nossa sandbox \u00e9 um sistema para detectar malware que executa um objeto suspeito em uma m\u00e1quina virtual com um sistema operacional totalmente funcional, e detecta a atividade mal-intencionada por meio de uma an\u00e1lise comportamental. Foi desenvolvida h\u00e1 alguns anos para ser usada em nossa infraestrutura e, posteriormente, tornou-se parte do <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/anti-targeted-attack-platform?redef=1&amp;reseller=gl_enterprsec_oth_ona_smm__onl_b2b_blog_ban____kata___\" target=\"_blank\" rel=\"noopener\">Kaspersky Anti-Targeted Attack Platform<\/a>.<\/p>\n<p>O Microsoft Office tem sido e permanecer\u00e1 como alvo preferido dos cibercriminosos. Eles perseguem as brechas mais f\u00e1ceis, assim, as funcionalidades obsoletas continuar\u00e3o a ser usadas para tirar vantagem ilegalmente. Para proteger sua empresa, aconselhamos a utiliza\u00e7\u00e3o de solu\u00e7\u00f5es cuja efic\u00e1cia tenha sido testada na longa lista de CVEs detectadas.<br>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-gartner\"><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Uma an\u00e1lise das vulnerabilidades do MS Office e das tecnologias que protegem seus neg\u00f3cios.<\/p>\n","protected":false},"author":2706,"featured_media":11677,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[1922,1185,1519,141,1923,514,267],"class_list":{"0":"post-11676","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-thesas2019","10":"tag-business","11":"tag-office","12":"tag-sas","13":"tag-sas-2019","14":"tag-security-analyst-summit","15":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ms-office-vulnerabilities-sas-2019\/11676\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ms-office-vulnerabilities-sas-2019\/15601\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/13145\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/17521\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ms-office-vulnerabilities-sas-2019\/15670\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/14369\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ms-office-vulnerabilities-sas-2019\/18244\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ms-office-vulnerabilities-sas-2019\/17173\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ms-office-vulnerabilities-sas-2019\/22603\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ms-office-vulnerabilities-sas-2019\/5876\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/26415\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ms-office-vulnerabilities-sas-2019-2\/11601\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/ms-office-vulnerabilities-sas-2019\/10600\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ms-office-vulnerabilities-sas-2019\/19022\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ms-office-vulnerabilities-sas-2019\/23042\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ms-office-vulnerabilities-sas-2019\/18258\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ms-office-vulnerabilities-sas-2019\/22452\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ms-office-vulnerabilities-sas-2019\/22389\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11676","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=11676"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11676\/revisions"}],"predecessor-version":[{"id":16455,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11676\/revisions\/16455"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/11677"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=11676"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=11676"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=11676"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}