Vulnerabilidades de Zero Day da Microsoft : Follina e DogWalk
Exploração de vulnerabilidade de Zero Day da Microsoft ainda sem correção
A cibersegurança é um mundo fascinante e complicado. Parece que todos os dias há notícias sobre uma nova ameaça de algum tipo ou um ataque bem-sucedido resultando em perda de dados, perda de reputação ou perda de dinheiro. Uma nova vulnerabilidade de zero day da Microsoft, ou de qualquer fornecedor, é comum hoje em dia. A qualidade e a precisão desses relatórios variam, mas se você ler o suficiente, verá algumas histórias familiares se repetindo.
Uma das histórias mais comuns é assim: um pesquisador inteligente descobre uma nova exploração de zero day e avisa o fornecedor afetado. O fornecedor responde — às vezes rapidamente, às vezes lentamente. Enquanto o fornecedor está respondendo e seus clientes estão aplicando todas as correções que podem, os invasores já estão colocando o zero day em uso nefasto. Uma variante divertida desse enredo é quando o fornecedor se arrasta, descarta o problema ou deixa de agir em tempo hábil… o que me leva ao assunto desta coluna: uma vulnerabilidade de zero day da Microsoft duas vezes chamadas Follina e DogWalk , deixado sem correção.
Follina
No final de maio de 2022, o pesquisador de segurança Kevin Beaumont descreveu uma exploração que ele chamou de “ Follina ”. A exploração, que na época não foi detectada pelo Windows Defender, permite que um documento do Word infectado “…[use] o recurso de modelo remoto do Word para recuperar um arquivo HTML de um servidor remoto da Web, que por sua vez usa o ms-msdt MSProtocol URI scheme para carregar algum código e executar algum PowerShell.” O “MSDT” na frase anterior refere-se à infraestrutura da Microsoft para executar “solucionadores de problemas”, pequenos utilitários incluídos no Windows 10 e posterior (incluindo o Windows Server 2019) que devem ajudá-lo a resolver problemas comuns com dispositivos de som, impressoras e outros. sobre.
O resultado dessa vulnerabilidade de zero day da Microsoft: abrir um documento infectado baixaria e executaria o PowerShell arbitrário da escolha do invasor em sua máquina Windows. Essa vulnerabilidade parece ter sido discutida publicamente pela primeira vez como assunto de uma tese de graduação em agosto de 2020. Em março de 2021, foi relatada à Microsoft como uma vulnerabilidade de segurança no Microsoft Teams em março de 2021. A Microsoft corrigiu o problema, mas apenas no Teams ; a questão ressurgiu em março de 2022 e, nesse ponto, começou a ser explorada por grupos APT afiliados a estados-nação. A partir de 7 de junho, a Microsoft não lançou um patch. Eles adicionaram assinaturas Follina às ferramentas de gerenciamento de vulnerabilidades do Defender e antivírus do Defender.
Mitigação Follina
O artigo do centro de pesquisa de segurança da Microsoft que aborda esse problema contém uma mitigação manual: exclua a subárvore do registro HKEY_CLASSES_ROOT\ms-msdt. Isso ainda permite que você execute solucionadores de problemas no Windows, mas não permite que eles sejam iniciados por meio de URLs. O problema é que este é um passo bastante manual.
Beaumont sugere a criação de uma Política de Grupo para desabilitar completamente a configuração que permite o acesso ao solucionador de problemas: crie uma nova política no editor de Diretiva de Grupo e, no nó Configuração do Computador, expanda Modelos Administrativos -> Sistema -> Solução de Problemas e Diagnósticos -> Diagnóstico com Script. Nessa categoria, defina “ Solução de problemas: permitir que os usuários acessem e executem Assistentes de solução de problemas” para “desativado” e distribua a política conforme apropriado. Até que a Microsoft lance um patch formal para as versões afetadas do Windows e do Office (que, neste momento, parece ser o Office 2013, 2016, 2019, 2021, Office Pro Plus e Office 365), essa mitigação é provavelmente sua melhor aposta. A Microsoft diz em seu artigo do CVE que essa mitigação não resolve o problema, mas Beaumont diz que sim.
A Microsoft também diz que você pode usar o Defender for Endpoint para aplicar a regra “ Bloquear todos os aplicativos do Office de criar processos filho ”, supondo que você tenha adquirido licenças que permitem executar o Defender for Endpoint.
Apresentando DogWalk, o que é pior
Em resumo: Follina é uma vulnerabilidade de zero day ruim da Microsoft. Mas, como costuma acontecer, acontece que havia (pelo menos) mais um problema relacionado que é pior. Essa exploração, apelidada de DogWalk, foi relatada à Microsoft em janeiro de 2020 pelo pesquisador Imre Rad. A Microsoft determinou que essa não era uma ameaça real à segurança porque exige que a vítima abra um arquivo (neste caso, um arquivo .CAB contendo um arquivo de configuração de diagnóstico). Como se vê, no entanto, essa avaliação inicial pode não ter sido correta. Isso porque, como Rad descreve, é possível obter um implante malicioso entregue à pasta de inicialização do usuário conectado para que ele seja executado sempre que o usuário fizer login - o usuário precisa baixar um arquivo, mas o arquivo em si é de um tipo que não será verificado pelo Windows SmartScreen quando for baixado pelo Edge ou Chrome. Isso é possível porque a ferramenta de diagnóstico da Microsoft (para a qual o manipulador de protocolo “msdt” é nomeado!) ao chamador. Como um usuário do Twitter chamado j00sean mostra neste vídeo , um usuário que pode ser induzido a baixar e tentar abrir o arquivo CAB malformado, na verdade estará instalando um malware persistente que não é detectado atualmente pelo Defender.
Atenuando DogWalk
A má notícia é que não há mitigação atual para DogWalk. Uma correção efetiva exigirá que a Microsoft corrija o subsistema MSDT para que ele não fique vulnerável ao ataque de passagem de caminho. Há duas outras mitigações que a Microsoft pode aplicar mais rapidamente:
Faça com que o MSDT honre o chamado sinalizador “ marca da web ” que o Windows usa para marcar executáveis que foram baixados da Internet. Este sinalizador é o motivo pelo qual o Windows Explorer pergunta “você tem certeza de que deseja abrir este arquivo?” quando você tenta abrir um arquivo executável que você baixou do seu navegador.
Adicione a detecção dessa vulnerabilidade específica ao Defender e Defender for Endpoint.
A única outra mitigação disponível no momento vem de uma empresa chamada 0patch, que cria uma ferramenta de correção na memória que aplica o que a empresa chama de “micropatches” à execução de executáveis. Depois de instalar o agente 0patch, ele fará o download de patches para os executáveis em sua máquina, aplicando-os automaticamente quando o executável for executado sem modificar a cópia em disco (e, assim, evitando a maioria dos tipos de verificações antimalware baseadas em arquivos). É uma boa ideia, principalmente porque a empresa lançou micropatches para corrigir vulnerabilidades no Windows Server 2008 R2 e Windows 7, bem como no Windows 10. incomodar.
O que acontece depois?
Zero-days são um fato da vida agora. Atacantes e especialistas em segurança têm incentivos extremamente fortes para encontrá-los e, muitas vezes, mesmo quando um fornecedor recebe uma notificação oportuna, eles não percebem (ou concordam com) a gravidade potencial de uma vulnerabilidade e, portanto, não corrigem isso em tempo hábil. A melhor coisa que você pode fazer para se proteger é garantir que você tenha uma boa cobertura antimalware e que, não importa quais ferramentas de detecção e resposta de endpoints você tenha instalado, você as tenha configurado corretamente e amplamente implantadas. O fato de haver duas vulnerabilidades do MSDT circulando por mais de dois anos deve ser um alerta para as equipes da Microsoft que trabalham nesses componentes.