A simples abertura de um documento do Word pode causar um transtorno para os usuários que utilizam a ferramenta diariamente. Isso porque uma nova vulnerabilidade no Microsoft Office, permite a execução remota de códigos na máquina da vítima por meio de um link malicioso vinculado a um documento do Word.
A nova ameaça está sendo chamada de Follina. Considerada de alto risco, com o score CVSS de 7.8, a falha de segurança está na ferramenta de diagnóstico de suporte da Microsoft (MSDT, em inglês). O ataque consiste no envio de um arquivo do Word para a vítima, que ao ser executado no computador, permite que o invasor execute códigos maliciosos com as mesmas permissões da aplicação.
Entre os comandos que podem ser realizados na máquina da vítima estão: instalação de programas, exfiltração (vazamento) de dados, modificação de arquivos, download de artefatos maliciosos (como ransomwares) e até mesmo a criação de contas de usuários dependendo dos níveis de privilégios.
"Algumas providências podem ser tomadas para evitar danos causados por esse ataque, que pode atingir até mesmo máquinas com versões atualizadas do Windows. A Microsoft liberou recentemente uma atualização no Windows Defender, com algumas assinaturas capazes de detectar essa ameaça. Portanto, é recomendado que o usuário mantenha seu sistema devidamente atualizado", explica Cristian Souza, instrutor no Instituto DARYUS de Ensino Superior Paulista (IDESP) e consultor de Cyber Security da DARYUS Consultoria, empresa referência em cibersegurança e segurança da informação, gestão de riscos, continuidade de negócios e privacidade de dados.
Entretanto, o consultor ressalta que mesmo com essas assinaturas catalogadas, é possível que os invasores utilizem técnicas para enganar os mecanismos de defesa do Windows. "Nesse caso, é indicado desabilitar o protocolo de URL do diagnóstico de suporte da Microsoft até que se tenha uma solução definitiva. Além disso, orientar os colaboradores da sua organização sobre algumas medidas de proteção, como sempre suspeitar de arquivos baixados de fontes externas".
Essa falha de segurança, de tipo dia zero (zero-day), foi listada pela comunidade de segurança no dia 27 de maio de 2022. Até que um patch oficial seja liberado, é importante que as organizações adotem essas medidas para minimizar o risco de invasões a partir da vulnerabilidade Follina.