Como os hackers estão explorando documentos do Microsoft Word para hackear o Windows

Um bug descoberto recentemente no mecanismo de navegador MSHTML proprietário da Microsoft permite que os hackers executem códigos remotos em todas as versões do Windows. Os invasores estão usando documentos do Word especialmente criados para explorar esse bug de dia zero. Infelizmente, o MSHTML também é usado por vários produtos da Microsoft, incluindo Skype, Visual Studio e Microsoft Outlook, portanto, o problema é bastante difundido.

Como tal, vamos explorar como a exploração funciona e como se manter a salvo dela.

Como funciona a exploração de dia zero do Microsoft Word?

O ataque começa quando os usuários são induzidos a abrir um documento do Word como arma. Este documento conterá um controle ActiveX especialmente criado para ser manipulado pelo mecanismo MSHTML. Quando carregado com sucesso, os hackers podem usar este controle ActiveX para executar código remoto no dispositivo comprometido.

A Microsoft está rastreando este bug como CVE-2021-40444 e atribuiu a ele uma pontuação CVSS de 8,8. Isso torna o bug do MSHTML um problema de alto impacto com potencial de causar danos consideráveis.

Como Mitigar o Ataque MSHTML

Os usuários podem evitar o ataque de MSHTML não abrindo documentos do Word não confiáveis. Mesmo se você clicar acidentalmente em tais documentos, executar o Office com as configurações padrão provavelmente o manterá protegido contra este último ataque de dia zero relacionado à Microsoft.

Por padrão, o Office abre documentos baixados da Internet no Modo de Exibição Protegido ou na Proteção de aplicativos do Office. Esse recurso evita que arquivos não confiáveis ​​acessem recursos cruciais do sistema, então você provavelmente estará seguro.

No entanto, os usuários que operam com privilégios de administrador correm alto risco de ataques de MSHTML. Como nenhum patch funcional está disponível agora, recomendamos abrir documentos do Office apenas como um usuário padrão, onde o modo de exibição protegido pode salvá-lo. A Microsoft também disse que desabilitar o controle ActiveX pode evitar esse ataque.

Relacionado: Microsoft ativa a proteção de aplicativos do Office 365 para proteger trabalhadores domésticos

Como desativar o controle ActiveX

Para desabilitar o controle ActiveX, abra um editor de texto e crie um arquivo chamado disable-activex.reg . Você pode chamar esse arquivo de qualquer coisa, desde que a extensão .reg esteja lá. Agora, cole o seguinte no arquivo e salve-o.

 Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones ]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones3]
"1001"=dword:00000003
"1004"=dword:00000003

Clique duas vezes no arquivo e clique em Sim quando solicitado pelo Windows. Depois de fazer isso, reinicie o seu PC e o Windows aplicará as novas configurações.

Cuidado com documentos do Word não confiáveis

A Microsoft ainda não lançou patches oficiais para o exploit MSHTML. Portanto, não clicar em documentos baixados da Internet é sua melhor aposta se você deseja permanecer seguro. Felizmente, o Defender pode detectar e evitar que esse ataque comprometa seu sistema. Portanto, certifique-se de ativar o Microsoft Defender e habilitar a proteção em tempo real.