Microsoft corrige falha com 17 anos no Office

A Microsoft fechou na terça-feira um erro de execução de código remoto de 17 anos encontrado em um executável do Office chamado Microsoft Equation Editor. A vulnerabilidade ( CVE-2017-11882 ) foi corrigida como parte do lançamento da Microsoft em novembro de terça-feira de 53 reparos.

Embora a Microsoft classifique a vulnerabilidade apenas como “Importante” em gravidade , os pesquisadores da Embedi que encontraram o bug, chamam de “extremamente perigoso”.

Em um relatório divulgado terça-feira (PDF) pela Embedi, os pesquisadores argumentam que a vulnerabilidade é uma ameaça porque toda a versão do Microsoft Office nos últimos 17 anos é vulnerável e que o CVE “funciona com todas as versões do Microsoft Windows (incluindo o Microsoft Windows 10 Creators Update ) “.

O Microsoft Equation Editor é instalado por padrão com o pacote do Office. O aplicativo é usado para inserir e editar equações complexas como itens de Ligação de Objetos e Incorporação (OLE) em documentos do Microsoft Word.

As origens do Equation Editor datam de novembro de 2000, quando foram compiladas. Desde então, faz parte do Office 2000 através do Office 2003. Pesquisadores disseram que, em 2007, o componente foi substituído por uma versão mais recente. Mas, o antigo Editor de Equações foi deixado no Office para suportar arquivos que utilizavam as antigas equações baseadas em OLE (EQNEDT32.EXE).

Mais uma análise realizada pela Embedi revelou que o EQNEDT32.EXE não era seguro, porque quando executado, ele foi executado fora do Office e não se beneficiou de muitos dos recursos de segurança do Microsoft Windows 10 e do Office, como o Control Flow Guard.

“O componente é um servidor COM OutProc executado em um espaço de endereço separado. Isso significa que os mecanismos e políticas de segurança dos processos do office (por exemplo, WINWORD.EXE, EXCEL.EXE, etc.) não afetam a exploração da vulnerabilidade de qualquer maneira, o que fornece um invasor com uma ampla gama de possibilidades “, escreveu Embedi em  sua redação técnica.

Pesquisadores Embedi descobriram o erro usando a ferramenta BinScope da Microsoft, que identificou EQNEDT32.EXE como um executável vulnerável. O BinScope funciona analisando arquivos para ver se eles passaram padrões definidos pelo Ciclo de Vida de Desenvolvimento de Segurança da Microsoft, um elemento central da Computação Confiável da Microsoft.

Embedi explorou essa vulnerabilidade usando dois vazamentos de buffer que dependiam de vários OLEs. “Ao inserir vários OLEs que exploraram a vulnerabilidade descrita, foi possível executar uma sequência arbitrária de comandos (por exemplo, para baixar um arquivo arbitrário da Internet e executá-lo)”, disseram pesquisadores.

A Microsoft descreve o CVE-2017-11882 como uma vulnerabilidade de corrupção de memória do Microsoft Office . “A exploração da vulnerabilidade exige que um usuário abra um arquivo especialmente criado com uma versão afetada do software Microsoft Office ou Microsoft WordPad. Em um cenário de ataque de e-mail, um invasor poderia explorar a vulnerabilidade enviando o arquivo especialmente criado para o usuário e convencendo o usuário para abrir o arquivo “, escreveu a Microsoft.

Como parte de sua pesquisa, a Embedi criou uma exploração de prova de conceito que ataca todas as versões do Office que datam de 2000, incluindo o Office 365, executado no Windows 7, no Windows 8.1 e na atualização do Windows 10 Creators. Em um vídeo abaixo, Embedi mostra três ataques diferentes nas versões do Office e do Windows (Office 2010 no Windows 7, Office 2013 no Windows 8.1 e no Office 2016 no Windows10.


Além de baixar o patch para corrigir Equation Editor, o Embedi está recomendando que as empresas desativem o EQNEDT32.EXE no registro do Windows para evitar uma maior exploração.

“Porque o componente tem inúmeros problemas de segurança e as vulnerabilidades que contém podem ser facilmente exploradas, a melhor opção para um usuário garantir a segurança é desativar o registro do componente no registro do Windows”, escreveram os pesquisadores.

FONTE: THREATPOST

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *