Uma vulnerabilidade no Microsoft Word, famoso programa de processador de texto, está preocupando a comunidade de criptomoedas. Segundo informações, não é necessário nem mesmo abrir o arquivo para que o código malicioso seja executado.
Resumidamente, o exploit se aproveita de uma ferramenta dos modelos (templates) do Word para executar códigos HTML e JavaScript de fontes externas. Após isso, o Powershell é iniciado para rodar a ferramenta de diagnóstico do Windows. Esta última pode então conceder acesso remoto ao atacante.
As atuais recomendações são a remoção do Microsoft Word até que uma solução seja encontrada (nenhum antivírus detecta este exploit até o momento), desativamento da ferramenta de diagnóstico, bem como uso de outros formatos, como PDF.
Vulnerabilidade Word pode ter feito vítima
Conforme noticiado pelo Livecoins, um empresário perdeu R$ 8 milhões após ter seus NFTs roubados em março deste ano. Segundo a Wallet Guard, a similaridade deste caso é tão grande que é provável se tratar desta mesma vulnerabilidade.
Em seu depoimento, Arthur, Fundador da DeFiance, afirma ter recebido um documento do Word (extensão .docx) de uma fonte até então confiável. Após isso, teve suas carteiras esvaziadas.
Found out the likely root cause for the exploit, it's a targeted social engineering attack. Received a spear-phishing email that really seems to be sent by one of our portco with content that seems like general industry-relevant content.
They are likely targeting all crypto peep pic.twitter.com/SegYBcoLX2
— Arthur (@Arthur_0x) March 22, 2022
Portanto, tal vulnerabilidade pode estar ativa há meses e, até o momento, nenhum antivírus pode prevenir a ação dos hackers.
Entendendo a vulnerabilidade do Word
A própria Microsoft já reconheceu a vulnerabilidade, afirmando que a falha impacta todos computadores usando Windows 7 ou superiores. Entretanto, não ofereceu nenhuma solução imediata, além de recomendar a desativação da ferramenta de diagnóstico.
“Um invasor que explorar com sucesso essa vulnerabilidade pode executar um código arbitrário com os privilégios do aplicativo de chamada”, explica a Microsoft. “O invasor pode então instalar programas, visualizar, alterar ou excluir dados, ou criar novas contas no contexto permitido pelos direitos do usuário.”
Em um fio no Twitter, o perfil Wallet explica que os hackers conseguem executar códigos HTML e JavaScript para abrir a ferramenta de diagnóstico do Windows. A partir disso, os atacantes conseguem fazer praticamente tudo, como roubar carteiras de criptomoedas, no computador da vítima.
A maior preocupação é que o arquivo infectado nem sequer precisa ser aberto para executar o exploit. Além disso, é notado que todos arquivos com extensões .doc, .docx e .rtf estão considerados como vulneráveis agora.
Quais medidas tomar?
As atuais recomendações são o abandono do Microsoft Word até que a falha seja corrigida, bem como a desativação da ferramenta de diagnóstico do Windows. Por fim, também é recomendável utilizar outras extensões, como PDF e não baixar documentos .doc, .docx e .rtf.
Conforme nenhum antivírus pode detectar tal ameaça, a segurança dos usuários está totalmente frágil neste momento. Portanto, é necessário tomar as medidas acima por conta própria caso você esteja preocupado.
