De acordo com uma análise da empresa de segurança informática Proofpoint, uma nova vulnerabilidade de segurança descoberta no Microsoft Office já está a ser explorada por hackers, alegadamente ligados ao governo chinês.
Os detalhes deste problema de segurança, que foram partilhados pela Proofpoint no Twitter, sugerem que um grupo de hackers denominado TA413 está a usar a vulnerabilidade (que foi baptizada ‘Follina’) em documentos de Word maliciosos, que, supostamente, estão a ser enviados a partir da Administração Central do Tibete, o governo tibetano no exílio que está baseado em Dharamsala, na Índia.
O grupo TA413, supostamente ligado às autoridades chinesas, é uma APT, ou ‘Advanced Persistent Threat’ (Ameaça Persistente Avançada), que já tinha atacado comunidades tibetanas no exílio.
Não é a primeira vez que hackers chineses usaram vulnerabilidades de software para atacarem os tibetanos. Em 2019, o Citizen Lab documentou uma campanha de utilização de spyware em larga escala dirigida a políticos tibetanos. Nessa campanha, foram usadas falhas de segurança no browser do sistema operativo Android e o envio de links maliciosos através de mensagens do WhatApp. Também foram usadas extensões para browsers. A Proofpoint já tinha reportado a utilização de uma extensão para o browser Firefox para espiar activistas tibetanos.
A nova vulnerabilidade foi noticiada pela primeira vez a 27 de Maio, depois de um grupo de pesquisa em segurança informática, chamado Nao Sec, ter publicado no Twitter informações acerca de uma amostra de malware que foi enviada para o serviço VirusTotal. O tweet publicado pelo Nao Sec, indicava que o código malicioso estava a ser distribuído através de documentos Word, que são usados para executar comandos através de PowerShell, uma das mais poderosas ferramentas de administração em sistemas com Windows.
Num artigo publicado a 29 de Maio, o especialista em segurança Kevin Beaumont, partilhou mais detalhes acerca da nova vulnerabilidade. Segundo a análise feita por Beumont, a vulnerabilidade permite a um documento Word feito de propósito, carregar ficheiros HTML a partir de um servidor externo e depois executar comandos PowerShell através do controlo do Microsoft Support Diagnostic Tool (MSDT), um programa que serve para recolher informação acerca de crashes e de outros problemas que aconteçam em aplicações da Microsoft.
A Microsoft já reconheceu esta ameaça de segurança e deu-lhe a designação CVE-2022-30190. Apesar de o ter reconhecido agora, há indicações de que a empresa já tinha sido avisada, mas que não respondeu.
De acordo com o blogue de segurança da Microsoft, um atacante que consiga usar esta vulnerabilidade, pode instalar programas, aceder, modificar ou apagar dados e até criar novas contas no sistema operativo. Até agora, ainda não foi lançada nenhuma actualização para corrigir o problema, mas a Microsoft publicou alguns conselhos para mitigá-lo, que requerem que o utilizador desligue a funcionalidade de carregamento de URL da ferramenta MSDT.
Os dados mais actuais acerca desta vulnerabilidade, indicam que afecta as versões Office 2013, 2016, 2019, 2021, Office ProPlus e Office 365. Na terça-feira, a agência de cibersegurança dos Estados Unidos pediu aos administradores de sistemas que implementem a solução sugerida pela Microsoft o mais depressa possível.