{"id":21609,"date":"2023-08-15T10:33:30","date_gmt":"2023-08-15T13:33:30","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21609"},"modified":"2023-08-15T10:33:30","modified_gmt":"2023-08-15T13:33:30","slug":"cve-2017-11882-exploitation-on-the-rise","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/cve-2017-11882-exploitation-on-the-rise\/21609\/","title":{"rendered":"CVE-2017-11882: cinco anos de explora\u00e7\u00e3o"},"content":{"rendered":"

Sempre enfatizamos como \u00e9 importante instalar prontamente patches para vulnerabilidades em softwares que s\u00e3o explorados com mais frequ\u00eancia em ciberataques \u2014 sistemas operacionais, navegadores e aplicativos de empresariais. Eis uma boa ilustra\u00e7\u00e3o dessa tese: de acordo com nossas estat\u00edsticas sobre vulnerabilidades<\/a>, uma das falhas mais utilizadas nos ataques a nossos clientes, a CVE-2017-11882<\/a> no Microsoft Office, ainda \u00e9 bastante popular entre os cibercriminosos. Apesar do fato de que a atualiza\u00e7\u00e3o que corrige essa vulnerabilidade foi lan\u00e7ada em novembro de 2017<\/strong>! Essa popularidade duradoura da CVE-2017-11882 s\u00f3 pode significar que algu\u00e9m n\u00e3o instalou as corre\u00e7\u00f5es para o Microsoft Office por mais de cinco anos.<\/p>\n

O que \u00e9 a vulnerabilidade CVE-2017-11882?<\/h2>\n

CVE-2017-11882 \u00e9 uma vulnerabilidade de Execu\u00e7\u00e3o Remota de C\u00f3digo (na sigla em ingl\u00eas RCE) no editor de equa\u00e7\u00f5es do Microsoft Office e est\u00e1 associada a uma falha na manipula\u00e7\u00e3o de objetos na RAM. Para explor\u00e1-la, um invasor deve criar um arquivo malicioso e, de alguma forma, convencer a v\u00edtima a abri-lo. Na maioria das vezes, o vetor do ataque \u00e9 enviado por e-mail ou hospedado em um site comprometido.<\/p>\n

A explora\u00e7\u00e3o bem-sucedida da vulnerabilidade CVE-2017-11882 permite que um invasor execute c\u00f3digo arbitr\u00e1rio com os privil\u00e9gios do usu\u00e1rio que abriu o arquivo malicioso. Assim, se a v\u00edtima tiver privil\u00e9gios de acesso de administrador, o cibercriminoso poder\u00e1 assumir o controle total do sistema invadido \u2014 instalar programas; visualizar, modificar ou destruir dados; e at\u00e9 mesmo criar novas contas.<\/p>\n

No final de 2017, quando as informa\u00e7\u00f5es sobre a vulnerabilidade foram publicadas pela primeira vez, n\u00e3o houve tentativas mapeadas de explora\u00e7\u00e3o. Mas em menos de uma semana, uma prova de conceito (PoC) apareceu na internet e os ataques usando CVE-2017-11882<\/a> come\u00e7aram logo em seguida.<\/p>\n

Em 2018, tornou-se uma das vulnerabilidades mais exploradas no Microsoft Office. Em 2020, durante a pandemia de Covid-19, a CVE-2017-11882 foi usada ativamente em correspond\u00eancias maliciosas<\/a> que usavam o tema de entregas interrompidas devido a restri\u00e7\u00f5es sanit\u00e1rias. E agora, em 2023, ela aparentemente ainda serve aos prop\u00f3sitos dos malfeitores!<\/p>\n

Como se manter protegido<\/h2>\n

Claro, a CVE-2017-11882 n\u00e3o \u00e9 a \u00fanica vulnerabilidade que tem sido usada em ataques por muitos anos. E nem mesmo \u00e9 a mais perigosa delas. \u00c9 surpreendente que, apesar de sua relativa popularidade (muito foi debatido desde 2017), bem como a disponibilidade de atualiza\u00e7\u00f5es e vers\u00f5es mais recentes do MS Office, algu\u00e9m ainda esteja usando vers\u00f5es vulner\u00e1veis da su\u00edte do office.<\/p>\n

Portanto, antes de tudo, recomendamos a todas as empresas que usam o Microsoft Office que se certifiquem de que est\u00e3o trabalhando com a vers\u00e3o atualizada do pacote. Geralmente, tamb\u00e9m \u00e9 uma boa ideia monitorar novos lan\u00e7amentos de patches de seguran\u00e7a e instal\u00e1-los oportunamente. O resto do conselho \u00e9 bastante padr\u00e3o:<\/p>\n