Descoberta nova vulnerabilidade no Microsoft Office

A equipa de investigação da Check Point encontrou uma nova vulnerabilidade, a qual, apesar de ter sido corrigida de imediato, tem vindo a ser explorada para disseminar malware desde abril de 2017

Descoberta nova vulnerabilidade no Microsoft Office

A Check Point revelou os detalhes de uma vulnerabilidade no Microsoft Office 2007, 2010, 2013 e 2016. A Check Point Research encontrou esta falha em Abril de 2017 e, apesar de ter sido feita a correção mal imediatamente após a deteção, a vulnerabilidade tem sido utilizada para divulgar malware de roubo de informação, como o AgentTesla e Loki.

As capacidades deste malware incluem o roubo dos dados do utilizador para iniciar sessão no Google Chrome, Mozilla Firefox, Microsoft Outlook e outros, fazer capturas de ecrã e gravações por câmaras web e ainda permite que o atacante instale mais malware nos dispositivos infetados.

No entanto, devido à natureza deste novo malware, o qual utiliza técnicas de ofuscação altamente evasivas, a maior parte dos antivírus não conseguiram detetá-lo até agora. Embora se acredite que os novos formatos de documentos Word são mais seguros do que os ficheiros RTF ou DOC, nesta quinta geração de ciberataques os cibercriminosos estão à procura de estar um passo à frente e assim adaptar as técnicas para evitar as barreiras tradicionais.

 

Como é que acontece esta infeção?

O ataque inicia quando um utilizador abre um ficheiro RTF (Rich Text Format) malicioso com o Microsoft Word. Logo a seguir, o Word lança um processo, denominado svchost, para abrir o editor de equações da Microsoft, uma aplicação auxiliar criada para realizar equações de matemática nos documentos Word. Normalmente este é todo o processo, no entanto, no caso do AgentTesla, a aplicação de editor de equações passa para um próximo passo onde continua a lançar, de forma suspeita, os seus próprios executáveis.

O executável chama-se "scvhost.exe”. A partir daqui, quando se inicia um segundo processo é estabelecida uma ligação ao servidor de Comando e Controlo (C&C) do ciberatacante e o malware é enviado para infetar o computador da vítima.

 

Da investigação teórica à proteção prática

Ao utilizar uma combinação complexa de proteções avançadas contra ameaças, múltiplas camadas de segurança avançadas e métodos automatizados de engenharia inversa, o Threat Emulation que é o núcleo do SandBlast Zero-Day Protection é capaz de detetar este malware antes que este tenha oportunidade de lançar um código evasivo e infetar o red ou o endpoint. Isto demonstra a importância da investigação e que as empresas precisam mais do que soluções tradicionais para proteger as suas redes contra os ataques de hoje em dia.

Para se protegerem contra este novo malware e contra outros desconhecidos, a Check Point recomenda que os utilizadores atualizem os sistemas e software que utilizam com frequência.

Tags

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 17 Janeiro 2019

IT INSIGHT Nº 17 Janeiro 2019

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.