Uma nova onda de ataques “zero-day” (dia zero) está usando documentos RTF para explorar usuários vulneráveis & 8203;& 8203;do Outlook, tanto no Windows como em sistemas Mac OS X, mesmo quando arquivos recebidos por email são apenas visualizados.

O alerta divulgado pela Microsoft na segunda-feira (24/03), afirma que ataques direcionados e limitados estão explorando uma falha recém-descoberta no arquivo de formato RTF do Word, que pode ser usada para corromper a memória do sistema e executar códigos de ataque arbitrários.

“Se o usuário atual está conectado com direitos administrativos, o invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total do sistema infectado. Assim, o invasor poderá instalar programas, exibir, alterar ou excluir dados ou criar novas contas com total direito de usuário”, detalha o comunicado de segurança emitido pela empresa.

Os ataques às vulnerabilidades foram direcionados ao Word 2010. Porém, a vulnerabilidade está presente em várias versões do software de produtividade para Windows (2003, 2007, 2010 e 2013), no Word Automation Services no Microsoft SharePoint Server (2010 e 2013)  e Microsoft Office Web Apps (2010 e Server 2013). Além disso, o bug também existe no Microsoft Office para Mac 2011.

Embora a vulnerabilidade esteja presente tecnicamente no Word, ela é explorada quando o programa está definido para visualizar os e-mail do Outlook (configuração tipicamente usada). “Por padrão, o Microsoft Word é o leitor de e-mail no Microsoft Outlook 2007, Microsoft Outlook 2010 e Microsoft Outlook 2013″, enfatiza a Microsoft.

Mas como os usuários do Outlook e do Word podem mitigar essa vulnerabilidade? A Microsoft detalhou várias soluções – todas temporárias – enquanto os pacotes de segurança não são liberados. Uma solução é desativar o RTF como formato suportado no Microsoft Office para Microsoft Word (2010 e 2013) e do Office (2003 e 2007), sugere Wolfgang Kandek, CTO da Qualys. Uma política de grupo do Active Directory também pode ser configurada para bloquear arquivos RTF para as versões afetadas do Word.

O Outlook também pode ser configurado para ler todos os e-mails em texto simples “padrão” – ou seja, mensagens que não são assinadas digitalmente ou criptografadas –, o que irá bloquear ataques relacionados. Segundo a Microsoft, ao usar o texto simples, os “junk tags” utilizados por invasores nos documentos RTF são retirados. A empresa explica que os infratores também incluíram um ataque secundário que ultrapassa a randomização de layout do espaço de endereço (ASLR) e, em seguida, utiliza programação orientada ao retorno (ROP) para executar código shell, que instala um backdoor no sistema afetado, e aciona um servidor de comando e controle via tráfego SSL criptografado.

A Microsoft alega que o Enhanced Mitigation Experience Toolkit (EMET), quando instalado em um sistema e configurado para funcionar no Microsoft Office, também consegue bloquear ataques relacionados. “Neste caso, mitigações do EMET como ‘Mandatory ASLR’ e recursos anti-ROP efetivamente barram a exploração da vulnerabilidade”, comentaram os engenheiros da empresa, Chengyun Chu e Elia Florio, no blog Microsoft Security Research.