{"id":19523,"date":"2022-06-06T16:46:26","date_gmt":"2022-06-06T19:46:26","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19523"},"modified":"2022-06-07T11:38:41","modified_gmt":"2022-06-07T14:38:41","slug":"follina-cve-2022-30190-msdt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/follina-cve-2022-30190-msdt\/19523\/","title":{"rendered":"Follina: documentos do Office s\u00e3o porta de entrada para vulnerabilidade"},"content":{"rendered":"

Pesquisadores descobriram outra vulnerabilidade grave em produtos da Microsoft que potencialmente permite que invasores executem c\u00f3digos arbitr\u00e1rios. O MITRE denominou essa vulnerabilidade como CVE-2022-30190<\/a>, enquanto pesquisadores mais pr\u00f3ximos do assunto est\u00e3o chamando a nova amea\u00e7a pelo nome de Follina. O mais perturbador \u00e9 que ainda n\u00e3o h\u00e1 corre\u00e7\u00e3o para esse bug. E, o que \u00e9 ainda pior, a vulnerabilidade j\u00e1 est\u00e1 sendo ativamente explorada por cibercriminosos. Enquanto a atualiza\u00e7\u00e3o est\u00e1 em desenvolvimento, todos os usu\u00e1rios e administradores do Windows s\u00e3o aconselhados a usar solu\u00e7\u00f5es tempor\u00e1rias.<\/p>\n

O que \u00e9 a CVE-2022-30190 e quais produtos podem ser afetados?<\/h2>\n

A vulnerabilidade CVE-2022-30190 est\u00e1 contida na Ferramenta de Diagn\u00f3stico de Suporte do Microsoft Windows (MSDT, na sigla em ingl\u00eas), o que n\u00e3o parece ser algo relevante. Infelizmente, devido \u00e0 implementa\u00e7\u00e3o dessa ferramenta, a vulnerabilidade pode ser explorada por meio de um documento malicioso do MS Office.<\/p>\n

A MSDT \u00e9 uma aplica\u00e7\u00e3o usada para coletar automaticamente informa\u00e7\u00f5es de diagn\u00f3stico e envi\u00e1-las \u00e0 Microsoft quando algo der errado com o Windows. A ferramenta pode ser chamada a partir de outros aplicativos (o Microsoft Word \u00e9 o exemplo mais popular) por meio do protocolo especial de URL da MSDT. Se a vulnerabilidade for explorada com sucesso, um invasor pode executar um c\u00f3digo arbitr\u00e1rio com os privil\u00e9gios do aplicativo que chamou a MSDT \u2014 ou seja, neste caso, com os direitos do usu\u00e1rio que abriu o arquivo malicioso.<\/p>\n

A vulnerabilidade CVE-2022-30190 pode ser explorada em todos os sistemas operacionais da fam\u00edlia Windows, tanto desktop quanto servidor.<\/p>\n

Como os invasores exploram a CVE-2022-30190<\/h2>\n

Como demonstra\u00e7\u00e3o de um ataque, os pesquisadores que a descobriram descrevem o seguinte cen\u00e1rio: os invasores criam um documento malicioso do MS Office e, de alguma forma, o entregam para a v\u00edtima. A maneira mais comum de fazer isso \u00e9 enviar um e-mail com um anexo malicioso, temperado com algum truque cl\u00e1ssico de engenharia social para convencer o destinat\u00e1rio a abrir o arquivo. Algo como \u201cverifique urgentemente o contrato, para assinatura amanh\u00e3 de manh\u00e3\u201d pode ser o suficiente.<\/p>\n

O arquivo infectado cont\u00e9m um link para um arquivo HTML que cont\u00e9m c\u00f3digo JavaScript, que executa c\u00f3digo malicioso na linha de comando via MSDT. Como resultado da explora\u00e7\u00e3o bem-sucedida, os invasores podem instalar programas, visualizar, modificar ou destruir dados, bem como criar novas contas \u2013 ou seja, fazer tudo o que for poss\u00edvel com os privil\u00e9gios da v\u00edtima no sistema.<\/p>\n

Como se manter protegido<\/h2>\n

Como mencionado acima, ainda n\u00e3o foi feita uma atualiza\u00e7\u00e3o de corre\u00e7\u00e3o. Enquanto isso, a Microsoft recomenda desabilitar o protocolo de URL MSDT. Para fazer isso, voc\u00ea precisa executar um prompt de comando com direitos de administrador e executar o comando <code>reg delete HKEY_CLASSES_ROOT\\ms-msdt \/f<\/code><\/em><\/strong>. Antes de fazer isso, \u00e9 recomendado fazer um backup do registro executando <code>reg export HKEY_CLASSES_ROOT\\ms-msdt filename<\/code><\/em><\/strong>. Dessa forma, voc\u00ea pode restaurar rapidamente o registro com o comando <code>reg import filename<\/code><\/em> <\/strong>assim que essa solu\u00e7\u00e3o alternativa n\u00e3o for mais necess\u00e1ria.<\/p>\n

Claro, esta \u00e9 apenas uma medida tempor\u00e1ria, e voc\u00ea deve instalar uma atualiza\u00e7\u00e3o que feche a vulnerabilidade do Follina assim que ela estiver dispon\u00edvel.<\/p>\n

Os m\u00e9todos descritos de explora\u00e7\u00e3o dessa vulnerabilidade envolvem o uso de e-mails com anexos maliciosos e m\u00e9todos de engenharia social. Portanto, recomendamos que todos sejam mais cuidadosos do que o normal com e-mails de remetentes desconhecidos \u2014 especialmente com documentos do MS Office anexados. Para as empresas, faz sentido ampliar a conscientiza\u00e7\u00e3o dos funcion\u00e1rios<\/a> regularmente sobre os truques mais relevantes de hackers.<\/p>\n

Al\u00e9m disso, todos os dispositivos com acesso \u00e0 Internet devem estar equipados com solu\u00e7\u00f5es de seguran\u00e7a robustas<\/a>. Mesmo quando algu\u00e9m estiver explorando uma vulnerabilidade desconhecida, essas solu\u00e7\u00f5es podem impedir que c\u00f3digos maliciosos sejam executados na m\u00e1quina de um usu\u00e1rio.<\/p>\n

\"Amea\u00e7as<\/a><\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Nova vulnerabilidade CVE-2022-30190, conhecida como Follina, permite a explora\u00e7\u00e3o da ferramenta de diagn\u00f3stico de suporte do Windows por meio de arquivos do MS Office.<\/p>\n","protected":false},"author":2698,"featured_media":19524,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1655,1656],"tags":[2854,2162,267,230],"class_list":{"0":"post-19523","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-smb","11":"tag-0days","12":"tag-rce","13":"tag-vulnerabilidades","14":"tag-windows"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/follina-cve-2022-30190-msdt\/19523\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/follina-cve-2022-30190-msdt\/24226\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/19707\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/9931\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/26554\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/follina-cve-2022-30190-msdt\/24512\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/follina-cve-2022-30190-msdt\/27225\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/follina-cve-2022-30190-msdt\/26749\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/follina-cve-2022-30190-msdt\/33255\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/follina-cve-2022-30190-msdt\/10743\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/44461\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/follina-cve-2022-30190-msdt\/18969\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/follina-cve-2022-30190-msdt\/28760\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/follina-cve-2022-30190-msdt\/28301\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/follina-cve-2022-30190-msdt\/25076\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/follina-cve-2022-30190-msdt\/30588\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/follina-cve-2022-30190-msdt\/30337\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19523","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2698"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=19523"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19523\/revisions"}],"predecessor-version":[{"id":19531,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19523\/revisions\/19531"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/19524"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=19523"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=19523"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=19523"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}