Uma Outra Campanha de Spam Usa o CVE-2017-11882 Para Distribuir Malware
Recentemente, nós mencionamos o problema de gerenciamento e correção de vulnerabilidades. O fato é que uma parcela muito grande de usuários e organizações que dependem muito dos computadores não têm consciência de como é importante acompanhar as atualizações de segurança importantíssimas que os fornecedores de software lançam todos os dias. Há infinitos exemplos que podem nos mostrar como isso é verdade, e o mais recente vem na forma de uma campanha de spam sobre a qual a Microsoft nos alertou na semana passada.
Índice
Apesar da sua idade, o CVE-2017-11882 ainda é ativamente abusado
Em novembro de 2017, os pesquisadores de segurança ficaram um pouco confusos com uma campanha de spam que estava entregando o Loki - um programa de spyware projetado para roubar informações confidenciais. As mensagens carregavam um arquivo malicioso, o que era bastante padrão para uma campanha do Loki na época, mas os anexos não eram os arquivos típicos do Microsoft Office habilitados para macro. Eles eram documentos em Rich Text Format (RTF) que baixavam automaticamente no momento em que eram abertos. Eles não necessitavam de nenhuma outra interação do usuário.
Depois de mais algumas pesquisas, os especialistas descobriram que os arquivos estavam explorando uma vulnerabilidade no Microsoft Office. A falha de segurança recebeu um código de rastreamento - CVE-2017-11882 - e descobriu-se que ela havia sido introduzida incríveis 17 anos antes da sua descoberta com a adição do Editor de Equações do MS Office - um componente usado para inserir objetos em arquivos do Office. A correção Tuesday de novembro de 2017 incluiu uma correção para a falha de segurança e uma atualização de janeiro de 2018 removeu completamente o Equation Editor. Para as pessoas que mantêm os seus softwares atualizados, o CVE-2017-11882 não é mais um problema. Para muitos, no entanto, esse não é o caso.
Algumas pessoas ainda não corrigiram o CVE-2017-11882
Na sexta-feira, a Microsoft usou a sua conta de Inteligência de Segurança no Twitter para avisar às pessoas sobre uma campanha de spam que está utilizando o CVE-2017-11882. As mensagens estão sendo enviadas há "algumas semanas" e estão voltadas principalmente para os usuários europeus. Depois de aberto, o arquivo RTF anexado faz o download de um script que instala um Trojan no computador. Na semana passada, o servidor de Comando e Controle (C&C) dos estelionatários estava inoperante, mas não há como saber quando eles vão colocá-lo de volta em funcionamento. A Microsoft rastreia a carga como Trojan:MSIL/Cretasker e promete que as ferramentas de segurança internas do Office e do Windows podem proteger os usuários de uma infecção bem-sucedida.
O fato de os bandidos estarem usando ativamente a CVE-2017-11882 quase dois anos após sua descoberta é significativo. Eles aparentemente acreditam que, apesar da disponibilidade de uma correção, as pessoas ainda não conseguiram proteger as suas instalações do MS Office. Ao mesmo tempo, o fato de a Microsoft alertar as pessoas sobre a campanha mostra que as suposições dos hackers estão corretas.
Por que os hackers amam tanto o CVE-2017-11882?
No último ano e meio, o CVE-2017-11882 tem sido usado tanto contra grandes organizações quanto usuários regulares, e a recente campanha de spam mostra que os cibercriminosos não têm intenção de parar, o que não deveria ser tão surpreendente, dada a boa cadeia de infecção que fornece. A principal vantagem da vulnerabilidade vem do fato de que, além de persuadir a vítima a abrir o anexo malicioso, os hackers não precisam fazer mais nada. Em outras palavras, uma exploração CVE-2017-11882 depende de dois fatores - uma instalação desatualizada do MS Office e um usuário que esteja disposto a abrir anexos de e-mail. Ambos, ao que parece, não são tão difíceis de se encontrar.